« August 2023 | Main | October 2023 »

September 2023

2023.09.30

NIST SP 800-73-5(初期公開ドラフト) 個人 ID 検証のためのインタフェース:パート 1 - PIV データ・モデル、パート 2 - カード・エッジ・インタフェース、パート 3 - アプリケーション・プログラミング・ インタフェース

こんにちは、丸山満彦です。

NISTが、NIST SP 800-73-5(初期公開ドラフト) 個人 ID 検証のためのインタフェース:

  • パート 1 - PIV データ・モデル
  • パート 2 - カード・エッジ・インタフェース
  • パート 3 - アプリケーション・プログラミング・ インタフェース

の3つの文書を公表し、意見募集をしていますね。。。

NIST - ITL

NIST SP 800-73-5 個人 ID 検証のためのインタフェース parts 1-3

Announcement 発表
In January 2022, NIST revised Federal Information Processing Standard (FIPS) 201, which establishes standards for the use of Personal Identity Verification (PIV) Credentials – including the credentials on PIV Cards. NIST Special Publication (SP) 800-73-5: Parts 1–3 and SP 800-78-5 have subsequently been revised to align with FIPS 201 and are now available for public comment. 2022 年 1 月、NIST は、個人識別検証(PIV)クレデンシャル(PIV カードのクレデンシャルを 含む)の使用標準を確立する連邦情報処理標準(FIPS)201 を改訂した。NIST 特別刊行物(SP)800-73-5: パート 1-3 および SP 800-78-5 は、その後 FIPS 201 と整合するように改訂され、現在パブ リック・コメントを受け付けている。
SP 800-73-5: Parts 1–3 ipd (Initial Public Draft) SP 800-73-5: パート 1-3 ipd(初期公開ドラフト)
SP 800-73-5: Parts 1–3 ipd, Interfaces for Personal Identity Verification, describes the technical specifications for using the PIV cards including a PIV data model (Part 1), card edge interface (Part 2), and application programming interface (Part 3). Major changes to the documents include: SP 800-73-5: Part 1-3 ipd「個人データ検証のためのインタフェース」は、PIV データ・モデル(第 1 部)、 カード・エッジ・インタフェース(第 2 部)、アプリケーション・プログラミング・ インタフェース(第 3 部)など、PIV カードを使用するための技術仕様を記述している。文書の主な変更点は以下のとおりである:
・Removal of the previously deprecated CHUID authentication mechanism ・以前は非推奨であった CHUID 認証メカニズムの削除。
・Deprecation of the SYM-CAK and VIS authentication mechanisms ・SYM-CAK および VIS 認証メカニズムの廃止
・Addition of an optional 1-factor secure messaging authentication mechanism (SM-Auth) for contactless interfaces for facility access applications ・施設アクセス・アプリケーション向け非接触型インタフェースに、オプションの 1 要素セキュア・メッセージング認証メカニズム(SM-Auth)を追加
・Additional use of the facial image biometric for general authentication via BIO and BIO-A authentication mechanisms ・BIOおよびBIO-A認証メカニズムによる一般認証への顔画像バイオメトリックの追加使用
・Restriction on the number of consecutive activation retries for each of the activation methods (i.e., PIN and OCC attempts) to be 10 or less ・各アクティベーション方法(すなわち、PIN および OCC 試行)の連続アクティベーショ ン再試行回数を 10 回以下に制限
・SP 800-73-5: Part 3 on PIV Middleware specification marked as optional to implement ・SP 800-73-5: PIV ミドルウェア仕様に関するパート 3 は、実装が任意であるとした
We encourage you to use this comment template to record and organize your comments on the SP 800-73-5 parts. このコメントテンプレートを使用して、SP 800-73-5 の各部に対するコメントを記録し、整理することを推奨する。
Also see SP 800-78-5 ipd. SP 800-78-5 ipd も参照のこと。
Abstract 概要
FIPS 201 defines the requirements and characteristics of government-wide interoperable identity credentials. It specifies that these identity credentials must be stored on a smart card and that additional common identity credentials, known as derived PIV credentials, may be issued by a federal department or agency and used when a PIV Card is not practical. This document contains the technical specifications to interface with the smart card to retrieve and use PIV identity credentials. The specifications reflect the design goals of interoperability and PIV Card functions. The goals are addressed by specifying a PIV data model, card edge interface, and application programming interface. Moreover, this document enumerates requirements for the options and branches in international integrated circuit card standards. The specifications go further by constraining interpretations of the normative standards to ease implementation, facilitate interoperability, and ensure performance in a manner tailored for PIV applications. FIPS 201 は、政府全体で相互運用可能な ID クレデンシャルの要件および特性を定義している。これは、これらの ID クレデンシャルがスマート・カードに格納されなければならないこと、および派生 PIV クレデンシャルとして知られる追加の共通 ID クレデンシャルが連邦省庁によって発行され、PIV カードが実用的でない場合に使用され る場合があることを規定している。本文書には、PIV ID クレデンシャルを取得して使用するためにスマート・カードとインタ ーフェースするための技術仕様が含まれている。この仕様は、相互運用性および PIV カード機能の設計目標を反映している。目標は、PIV データ・モデル、カード・エッジ・インタフェース、およびアプリケーショ ン・プログラミング・インタフェースを規定することで対処される。さらに、本文書は、国際集積回路カード標準のオプションおよび分岐の要件を列挙している。この仕様は、実装を容易にし、相互運用性を促進し、PIV ア プリケーションに合わせた方法で性能を確保するために、標準規格の解釈を制約するこ とによってさらに進む。

 

パート1

・2023.09.27 NIST SP 800-73-5 (Initial Public Draft) Interfaces for Personal Identity Verification: Part 1 – PIV Card Application Namespace, Data Model and Representation

・[PDF] NIST.SP.800-73pt1-5.ipd

20230930-51729

 

目次...

NIST SP 800-73-5 (Initial Public Draft) Interfaces for Personal Identity Verification: Part 1 – PIV Card Application Namespace, Data Model and Representation NIST SP 800-73-5(初期公開ドラフト) 個人 ID 検証のためのインタフェース: パート 1 - PIV カード・アプリケーションの名前空間、データ・モデルおよび表現
1. Introduction  1. 序文 
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. Effective Date 1.3. 発効日
1.4. Audience and Assumptions 1.4. 対象者および前提条件
1.5. Document Overview and Structure 1.5. 文書の概要と構成
2. PIV Card Application Namespaces 2. PIV カード・アプリケーション名前空間
2.1. Namespaces of the PIV Card Application 2.1. PIV カード・アプリケーションの名前空間
2.2. PIV Card Application AID 2.2. PIV カード・アプリケーション AID
3. PIV Data Model Elements 3. PIV データ・モデル要素
3.1. Mandatory Data Elements 3.1. 必須データ要素
3.2. Conditional Data Elements 3.2. 条件付きデータ要素
3.3. Optional Data Elements 3.3. オプションのデータ要素
3.4. Inclusion of Universally Unique Identifiers (UUIDs) 3.4. 汎用一意識別子(UUID)のインクルード
3.5. Data Object Containers and Associated Access Rules and Interface Modes 3.5. データ・オブジェクト・コンテナおよび関連するアクセス規則とインターフェイス・モード
4. PIV Data Objects Representation 4. PIV データ・オブジェクトの表現
4.1. Data Objects Definition 4.1. データ・オブジェクト定義
4.2. OIDs and Tags of PIV Card Application Data Objects 4.2. PIV カード・アプリケーション・データ・オブジェクトの OID とタグ
4.3. Object Identifiers 4.3. オブジェクト識別子
5. Data Types and Their Representation 5. データ型とその表現
5.1. Key References 5.1. キー参照
5.2. PIV Algorithm Identifier 5.2. PIV アルゴリズム識別子
5.3. Cryptographic Mechanism Identifiers 5.3. 暗号メカニズム識別子
5.4. Secure Messaging and Authentication Using a Secure Messaging Key (SM-AUTH) 5.4. セキュア・メッセージング・キーを使用するセキュア・メッセージングおよび本人認証 (SM-AUTH)
5.5. Virtual Contact Interface 5.5. バーチャル・コンタクト・インターフェース
5.6. Status Words 5.6. ステータスワード
References 参考文献
Appendix A. PIV Data Model 附属書 A. PIV データモデル
Appendix B. PIV Authentication Mechanisms 附属書 B. PIV 認証メカニズム
Appendix C. PIV Algorithm Identifier Discovery 附属書 C. PIV アルゴリズム識別子の発見
Appendix D. List of Symbols, Abbreviations, and Acronyms 附属書 D. 記号、略語、および頭字語のリスト
Appendix E. Glossary 附属書 E. 用語集
Appendix F. Notation 附属書 F. 表記法
Appendix G. Revision History 附属書 G. 改訂履歴

 

 

パート2

・2023.09.27 NIST SP 800-73-5 (Initial Public Draft) Interfaces for Personal Identity Verification: Part 2 – PIV Card Application Card Command Interface

 

 

・目次...

NIST SP 800-73-5 (Initial Public Draft) Interfaces for Personal Identity Verification: Part 2 – PIV Card Application Card Command Interface NIST SP 800-73-5(初期公開ドラフト) 個人 ID 検証用インタフェース: パート 2 - PIV カード・アプリケーション・カード・コマンド・インタフェース
Table of Contents 目次
1. Introduction 1. 序文
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. Audience and Assumptions 1.3. 対象者および前提
1.4. Content and Organization 1.4. 内容と構成
2. Overview: Concepts and Constructs 2. 概要 概念と構成
2.1.Platform Requirements 2.1.プラットフォーム要件
2.2. Namespaces of the PIV Card Application 2.2. PIV カード・アプリケーションの名前空間
2.3. Card Applications 2.3. カード・アプリケーション
 2.3.1. Default Selected Card Application  2.3.1. デフォルト選択カード・アプリケーション
2.4.Security Architecture 2.4.セキュリティ・アーキテクチャ
 2.4.1. Access Control Rule  2.4.1. アクセス・コントロール・ルール
 2.4.2. Security Status  2.4.2. セキュリティ・ステータス
 2.4.3. Authentication of an Individual  2.4.3. 本人認証
2.5. Current State of the PIV Card Application 2.5. PIV カード・アプリケーションの現状
3. PIV Card Application Card Command Interface 3. PIV カード・アプリケーション・カード・コマンド・インタフェース
3.1. PIV Card Application Card Commands for Data Access 3.1. データ・アクセスのための PIV カード・アプリケーション・カード・コマンド
 3.1.1. SELECT Card Command  3.1.1. SELECT カード・コマンド
 3.1.2. GET DATA Card Command  3.1.2. GET DATA カード・コマンド
3.2. PIV Card Application Card Commands for Authentication 3.2. 本人認証用 PIV カード・アプリケーション・カード・コマンド
 3.2.1. VERIFY Card Command  3.2.1. VERIFY カード・コマンド
 3.2.2. CHANGE REFERENCE DATA Card Command  3.2.2. CHANGE REFERENCE DATA カード・コマンド
 3.2.3. RESET RETRY COUNTER Card Command  3.2.3. RESET RETRY COUNTER カード・コマンド
 3.2.4. GENERAL AUTHENTICATE Card Command  3.2.4. GENERAL AUTHENTICATE カード・コマンド
3.3. PIV Card Application Card Commands for Credential Initialization and Administration 3.3. クレデンシャル初期化および管理のための PIV カードアプリケーションカードコマンド
 3.3.1. PUT DATA Card Command  3.3.1. PUT DATA カード・コマンド
 3.3.2. GENERATE ASYMMETRIC KEY PAIR Card Command  3.3.2. GENERATE ASYMETRIC KEY PAIR カード・コマンド
4. Secure Messaging 4. セキュア・メッセージング
4.1. Key Establishment Protocol 4.1. 鍵確立プロトコル
 4.1.1. Client Application Steps  4.1.1. クライアント・アプリケーションの手順
 4.1.2. PIV Card Application Protocol Steps  4.1.2. PIV カード・アプリケーション・プロトコル・ステップ
 4.1.3. Notations  4.1.3. 表記
 4.1.4. Cipher Suite  4.1.4. 暗号スイート
 4.1.5. Card Verifiable Certificates  4.1.5. カード検証可能証明書
 4.1.6. Key Derivation  4.1.6. 鍵の導出
 4.1.7. Key Confirmation  4.1.7. 鍵の確認
 4.1.8. Command Interface  4.1.8. コマンド・インターフェース
4.2. Secure Messaging 4.2. セキュア・メッセージング
 4.2.1. Secure Messaging Data Objects  4.2.1. セキュア・メッセージング・データ・オブジェクト
 4.2.2. Command and Response Data Confidentiality  4.2.2. コマンドとレスポンス・データの機密性
 4.2.3. Command Integrity  4.2.3. コマンドの完全性
 4.2.4. Command With PIV Secure Messaging  4.2.4. PIV セキュア・メッセージングを使用したコマンド
 4.2.5. Response Integrity  4.2.5. 応答の完全性
 4.2.6. Response With PIV Secure Messaging  4.2.6. PIV セキュア・メッセージングを使用した応答
 4.2.7. Error Handling  4.2.7. エラー処理
4.3. Session Key Destruction 4.3. セッション鍵の破棄
References 参考文献
Appendix A. Examples of the Use of the GENERAL AUTHENTICATE Command 附属書 A. GENERAL AUTHENTICATEコマンドの使用例
Appendix B. List of Symbols, Abbreviations, and Acronyms 附属書 B. 記号、略語、頭字語のリスト
Appendix C. Glossary . 55 Appendix D. Notation 附属書 C.用語集 . 55 付属書 D. 表記法

 

 

パート3

・2023.09.27 NIST SP 800-73-5 (Initial Public Draft) Interfaces for Personal Identity Verification: Part 3 – PIV Client Application Programming Interface

・[PDF] NIST.SP.800-73pt3-5.ipd

20230930-53631

目次...

NIST SP 800-73-5 (Initial Public Draft) Interfaces for Personal Identity Verification: Part 3 – PIV Client Application Programming Interface NIST SP 800-73-5(初期公開ドラフト) 個人 ID 検証のためのインタフェース: パート 3 - PIV クライアント・アプリケーション・プログラミング・インターフェース
1. Introduction 1. 序文
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. Audience and Assumptions 1.3. 対象者および前提
1.4. Content and Organization 1.4. 内容と構成
2. Overview: Concepts and Constructs 2. 概要 概念と構成要素
3. Client Application Programming Interface 3. クライアント・アプリケーション・プログラミング・インターフェイス
3.1. Entry Points for Communication 3.1. コミュニケーションのエントリーポイント
3.2. Entry Points for Data Access 3.2. データアクセスのエントリーポイント
3.3. Entry Points for Cryptographic Operations 3.3. 暗号操作のエントリーポイント
3.4. Entry Points for Credential Initialization and Administration 3.4. クレデンシャルの初期化および管理のエントリポイント
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A. 記号、略語、および頭字語のリスト
Appendix B. Glossary 附属書 B. 用語集
Appendix C. Notation 附属書 C. 表記法

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.30 NIST SP 800-73-5(初期公開ドラフト) 個人 ID 検証のためのインタフェース:パート 1 - PIV データ・モデル、パート 2 - カード・エッジ・インタフェース、パート 3 - アプリケーション・プログラミング・ インタフェース

・2023.09.30 NIST SP 800-78-5(初期公開ドラフト) 個人識別検証の暗号アルゴリズムおよび鍵サイズ

・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)

ちょっと昔ですが。。

・2005.06.18 NIST SP-800

 

 

| | Comments (0)

NIST SP 800-78-5(初期公開ドラフト) 個人識別検証の暗号アルゴリズムおよび鍵サイズ

こんにちは、丸山満彦です。

NISTが、NIST SP 800-78-5(初期公開ドラフト) 個人識別検証の暗号アルゴリズムおよび鍵サイズを公開し、意見募集をしていますね。。。

 

NIST - ITL

・2023.09.27 NIST SP 800-78-5 (Initial Public Draft) Cryptographic Algorithms and Key Sizes for Personal Identity Verification

 

NIST SP 800-78-5 (Initial Public Draft) Cryptographic Algorithms and Key Sizes for Personal Identity Verification NIST SP 800-78-5(初期公開ドラフト) 個人識別検証の暗号アルゴリズムおよび鍵サイズ
Announcement 発表
In January 2022, NIST revised Federal Information Processing Standard (FIPS) 201, which establishes standards for the use of Personal Identity Verification (PIV) Credentials – including the credentials on PIV Cards. NIST Special Publication (SP) 800-73-5: Parts 1–3 and SP 800-78-5 have subsequently been revised to align with FIPS 201 and are now available for public comment. 2022 年 1 月、NIST は、個人識別検証(PIV)クレデンシャル(PIV カードのクレデンシャルを 含む)の使用標準を確立する連邦情報処理標準(FIPS)201 を改訂した。NIST 特別刊行物(SP)800-73-5: パート 1-3 および SP 800-78-5 は、その後 FIPS 201 と整合するように改訂され、現在パブ リック・コメントを受け付けている。
SP 800-78-5 ipd (Initial Public Draft) SP 800-78-5 ipd(初期公開ドラフト)
SP 800-78-5 ipd, Cryptographic Algorithms and Key Sizes for Personal Identity Verification, defines the requirements for cryptographic capability of the PIV Card and supporting systems in coordination with FIPS 201-3. It been modified to add additional algorithm and key size requirements and to update the requirements for Cryptographic Algorithm Validation Program (CAVP) validation testing including: SP 800-78-5 ipd「個人 ID 検証のための暗号アルゴリズムおよび鍵サイズ」は、FIPS 201-3 と連携して、PIV カードおよび支援システムの暗号機能の要件を定義している。追加アルゴリズムおよび鍵サイズ要件を追加し、暗号化アルゴリズム検証プログラム(CAVP) 検証テストの要件を更新するために、以下のように修正された:
・Deprecation of 3TDEA algorithms with identifier ‘00’ and ‘03’ ・識別子が「00」および「03」の 3TDEA アルゴリズムの非推奨。
・Removal of the retired RNG from CAVP PIV component testing where applicable ・該当する場合、CAVP PIV コンポーネント・テストから引退した RNG を削除する。
・Accommodation of the Secure Messaging Authentication key  ・セキュア・メッセージング認証鍵の収容 
・Update to Section 3.1 and Table 1 to reflect additional higher strength keys with at least 128-bit security for use in authentication beginning in 2031 ・セクション 3.1 および表 1 を更新し、2031 年から本人認証に使用する、少なくとも 128 ビットのセキュ リティを持つ、より強度の高い鍵を追加する。
NIST specifically seeks input from federal agencies on the suitability of the digital signature algorithms and key sizes specified in SP 800-78-5. The draft revisions accommodate RSA signatures with 2048-bit and 3072-bit keys, and ECDSA signatures with the P-256 and P-384 curves, for authentication services. NIST requests feedback on the potential need to support RSA with 4096-bit keys, or for the need to add support for the EdDSA signature algorithm that is now specified in FIPS 186-5. NIST は、SP 800-78-5 に規定される電子署名アルゴリズムおよび鍵サイズの適切性について、連邦 機関からの意見を特に求めている。改訂草案では、2048 ビットおよび 3072 ビットの鍵による RSA 署名と、P-256 および P-384 カーブによる ECDSA 署名を本人認証サービスに使用する。NIST は、4096 ビットの鍵による RSA をサポートする潜在的な必要性、または現在 FIPS 186-5 で規定されている EdDSA 署名アルゴリズムのサポートを追加する必要性に関するフィードバックを求めている。
We encourage you to use this comment template to record and organize your comments on SP 800-78-5 ipd. SP 800-78-5 ipd に対するコメントを記録し、整理するために、このコメントテンプレートを使用することを推奨する。
Also see the SP 800-73-5 ipd parts: Part 1, Part 2, Part 3. また、SP 800-73-5 ipd のパートも参照のこと: パート 1、パート 2、パート 3 も参照のこと。
Abstract 概要
Federal Information Processing Standard 201-3 (FIPS 201-3) defines the requirements for Personal Identity Verification (PIV) life cycle activities, including identity proofing, registration, PIV Card issuance, and PIV Card usage. FIPS 201-3 also defines the structure of an identity credential that includes cryptographic keys. This document contains the technical specifications needed for the mandatory and optional cryptographic keys specified in FIPS 201-3, as well as the supporting infrastructure specified in FIPS 201-3 and the related NIST Special Publication (SP) 800-73, Interfaces for Personal Identity Verification, and NIST SP 800-76, Biometric Specifications for Personal Identity Verification, which rely on cryptographic functions. 連邦情報処理標準 201-3(FIPS 201-3)は、身元確認、登録、PIV カード発行、および PIV カード使用など、個人 ID 検証(PIV)のライフサイクル活動の要件を定義している。FIPS 201-3 は、暗号鍵を含む ID クレデンシャルの構造も定義している。この文書には、FIPS 201-3 で指定された必須およびオプションの暗号鍵に必要な技術仕様、ならびに FIPS 201-3 および関連する NIST 特別刊行物(SP)800-73「個人識別検証用インタフェース」、NIST SP 800-76「個人識別検証用バイオメトリクス仕様」で指定されたサポート・インフラストラクチャが含まれ、これらは暗号機能に依存している。

 

・[PDF] NIST.SP.800-78-5.ipd

20230930-50913

 

1. Introduction 1. 序文
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. Audience and Assumptions 1.3. 対象者および前提
1.4. Document Overview 1.4. 文書の概要
2. Application of Cryptography in FIPS 201-3 2. FIPS 201-3 における暗号の適用
3. On-Card Cryptographic Requirements 3. オン・カード暗号要件
3.1.PIV Cryptographic Keys 3.1.PIV 暗号鍵
3.2. Authentication Information Stored on the PIV Card 3.2. PIV カードに格納される本人認証情報
3.2.1. Specification of Digital Signatures on Authentication Information 3.2.1. 認証情報に対するデジタル署名の仕様
3.2.2. Specification of Public Keys In X.509 Certificates 3.2.2. X.509 証明書内の公開鍵の仕様
3.2.3. Specification of Message Digests in the NIST SP 800-73-4 Security Object 3.2.3. NIST SP 800-73-4 セキュリティ・オブジェクトにおけるメッセージ・ダイジェストの仕様
4. Certificate Status Information 4. 証明書ステータス情報
5. PIV Card Application Administration Keys 5. PIV カード・アプリケーション管理鍵
6. Identifiers for PIV Card Interfaces 6. PIV カード・インタフェースの識別
6.1. Key Reference Values 6.1. キー参照値
6.2. PIV Card Algorithm Identifiers 6.2. PIV カード・アルゴリズム識別
6.3. Algorithm Identifiers for PIV Key Types 6.3. PIV 鍵タイプのアルゴリズム識別子
7. Cryptographic Algorithm Validation Testing Requirements 7. 暗号化アルゴリズム検証テスト要件
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A. 記号、略語、および頭字語のリスト
Appendix B. Change Log 附属書 B. 変更履歴

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)

ちょっと昔ですが。。

・2005.06.18 NIST SP-800

 

 

| | Comments (0)

NIST SP 1800-36 (初期ドラフト第2版) 信頼できるIoT機器のネットワーク層オンボーディングとライフサイクル管理:インターネットプロトコルベースのIoT機器とネットワークのセキュリティ強化 (A,D)

こんにちは、丸山満彦です。

NISTがIPベースのIoTデバイスとネットワークのセキュリティ強化のための実践ガイドの初期ドラフト第2版を公表、意見募集をしていますね。。。

昨年12月にA(エグゼクティブサマリー)が、今年の5月にBからEが、そして、今回はAとDの改訂ドラフト。。。

 

協力している企業、団体等は、

ですね。。。

 

● NIST - ITL

・2023.09.26 NIST SP 1800-36 (2nd Preliminary Draft) Trusted Internet of Things (IoT) Device Network-Layer Onboarding and Lifecycle Management: Enhancing Internet Protocol-Based IoT Device and Network Security

 

NIST SP 1800-36 (2nd Preliminary Draft) Trusted Internet of Things (IoT) Device Network-Layer Onboarding and Lifecycle Management: Enhancing Internet Protocol-Based IoT Device and Network Security NIST SP 1800-36 (初期ドラフト第2版) 信頼できるIoTデバイス・ネットワーク層のオンボーディングとライフサイクル管理: インターネットプロトコルベースのIoTデバイスとネットワークのセキュリティの強化
Announcement 発表
The NIST National Cybersecurity Center of Excellence (NCCoE) has released the second preliminary drafts of volumes A and D of NIST SP 1800-36, Trusted Internet of Things (IoT) Device Network-Layer Onboarding and Lifecycle Management. The comment period is open until November 10, 2023. NIST国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、NIST SP 1800-36「T信頼できるIoTデバイスのネットワーク層オンボーディングとライフサイクル管理」のA巻とD巻の2回目の初期ドラフトを公表した。意見募集期間は2023年11月10日までである。
About the Project プロジェクトについて
Provisioning network credentials to IoT devices in an untrusted manner leaves networks vulnerable to having unauthorized IoT devices connect to them. It also leaves IoT devices vulnerable to being taken over by unauthorized networks. Instead, trusted, scalable, and automatic mechanisms are needed to safely manage IoT devices throughout their lifecycles, beginning with secure ways to provision devices with their network credentials—a process known as trusted network-layer onboarding. Trusted network-layer onboarding, in combination with additional device security capabilities such as device attestation, application-layer onboarding, secure lifecycle management, and device intent enforcement could improve the security of networks and IoT devices. 信頼されていない方法でIoTデバイスにネットワーク認証情報をプロビジョニングすると、ネットワークは未承認のIoTデバイスが接続する脆弱性を残す。また、IoTデバイスが不正なネットワークに乗っ取られる脆弱性も残る。その代わりに、IoTデバイスのライフサイクル全体を安全に管理するために、信頼され、スケーラブルで、自動的なメカニズムが必要とされ、そのためにはまず、デバイスにネットワーク・クレデンシャルをプロビジョニングする安全な方法(信頼されたネットワーク層のオンボーディングとして知られるプロセス)が必要である。信頼されたネットワーク層のオンボーディングは、デバイス認証、アプリケーション層のオンボーディング、セキュアなライフサイクル管理、デバイス・インテント実施などの追加のデバイス・セキュリティ機能と組み合わせることで、ネットワークと IoT デバイスのセキュリティを改善することができる。
This practice guide aims to demonstrate how organizations can protect both their IoT devices and their networks. The updated draft versions of volumes A and D describe advancements to the IoT onboarding functional implementations. NCCoE is collaborating with product and service providers to produce example implementations of trusted network-layer onboarding and capabilities that improve device and network security throughout the IoT-device lifecycle to achieve this. このプラクティス・ガイドは、組織がIoTデバイスとネットワークの両方を保護する方法を示すことを目的としている。更新されたドラフト版(第 A 巻および第 D 巻)では、IoT オンボーディング機能実装の進歩が説明されている。NCCoEは、製品・サービス・プロバイダと協力して、トラスト・ネットワーク層のオンボーディングと、IoTデバイスのライフサイクル全体を通じてデバイスとネットワークのセキュリティを改善する機能の実装例を作成し、これを実現している。
Abstract 概要
Providing devices with the credentials and policy needed to join a network is a process known as network-layer onboarding. Establishing trust between a network and an IoT device prior to such onboarding is crucial for mitigating the risk of potential attacks. There are two sides of this attack: one is where a device is convinced to join an unauthorized network, which would take control of the device. The other side is where a network is infiltrated by a malicious device. Trust is achieved by attesting and verifying the identity and posture of the device and the network as part of the network-layer onboarding process. Additional safeguards, such as verifying the security posture of the device before other operations occur, can be performed throughout the device lifecycle. In this practice guide, the National Cybersecurity Center of Excellence (NCCoE) applies standards, recommended practices, and commercially available technology to demonstrate various mechanisms for trusted network-layer onboarding of IoT devices. We show how to provide network credentials to IoT devices in a trusted manner and maintain a secure posture throughout the device lifecycle. ネットワークに参加するために必要な認証情報とポリシーをデバイスにプロバイダすることは、ネットワーク層のオンボーディングとして知られるプロセスである。このようなオンボーディングに先立ち、ネットワークとIoTデバイスの信頼関係を確立することは、潜在的な攻撃のリスクを低減する上で極めて重要である。この攻撃には2つの側面がある。1つは、デバイスが不正なネットワークに参加するよう説得され、そのネットワークがデバイスを制御する場合だ。もうひとつは、悪意のあるデバイスによってネットワークに侵入されるケースだ。信頼は、ネットワーク・レイヤのオンボーディング・プロセスの一部として、デバイスとネットワークのアイデンティティとポスチャーを認証・検証することで達成される。他の操作が発生する前にデバイスのセキュリティ・ポスチャを検証するなどの追加のセーフガードは、デバイスのライフサイクル全体を通して実行できる。このプラクティスガイドでは、国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)が標準、推奨プラクティス、および商用利用可能な技術を適用して、IoT デバイスの信頼できるネットワーク層オンボーディングのためのさまざまなメカニズムを実証する。信頼できる方法でネットワーク認証情報を IoT デバイスにプロバイダし、デバイスのライフサイクルを通じて安全な姿勢を維持する方法を示す。

 

A巻...

・[PDF] NIST SP 1800-36A 2prd

20230930-45857

Executive Summary  要旨 
Establishing trust between a network and an Internet of Things (IoT) device (as defined in NIST Internal Report 8425) prior to providing the device with the credentials it needs to join the network is crucial for mitigating the risk of potential attacks. There are two possibilities for attack. One is where a device is convinced to join an unauthorized network, which would take control of the device. The other is where a network is infiltrated by a malicious device. Trust is achieved by attesting and verifying the identity and posture of the device and the network before providing the device with its network credentials—a process known as network-layer onboarding. In addition, scalable, automated mechanisms are needed to safely manage IoT devices throughout their lifecycles, such as safeguards that verify the security posture of a device before the device is permitted to execute certain operations. In this practice guide, the National Cybersecurity Center of Excellence (NCCoE) applies standards, recommended practices, and commercially available technology to demonstrate various mechanisms for trusted network-layer onboarding of IoT devices. This guide shows how to provide network credentials to IoT devices in a trusted manner and maintain a secure device posture throughout the device lifecycle.  ネットワークに参加するために必要な認証情報をデバイスにプロバイダする前に、ネットワークとモノのインターネット(IoT)デバイス(NIST Internal Report 8425で定義)の間の信頼を確立することは、潜在的な攻撃のリスクを低減するために極めて重要である。攻撃には2つの可能性がある。1つは、デバイスが不正なネットワークに参加するよう説得され、デバイスを制御される場合である。もうひとつは、悪意のあるデバイスによってネットワークに侵入されるケースだ。信頼は、デバイスにネットワーク・クレデンシャルをプロバイダダとして提供する前に、デバイスとネットワークのアイデンティティとポスチャを認証・検証することで達成される。さらに、デバイスが特定の操作を実行することを許可される前にデバイスのセキュリティ・ポスチャを検証するセーフガードなど、IoT デバイスをそのライフサイクル全体を通じて安全に管理するための拡張可能で自動化されたメカニズムが必要である。このプラクティスガイドでは、国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)が標準、推奨プラクティス、および商用利用可能な技術を適用して、IoT デバイスの信頼できるネットワーク層オンボーディングのためのさまざまなメカニズムを実証する。このガイドでは、信頼できる方法でネットワーク認証情報を IoT デバイスにプロバイダし、デバイスのライフサイクル全体を通じて安全なデバイスの姿勢を維持する方法を示す。
CHALLENGE  課題 
With 40 billion IoT devices expected to be connected worldwide by 2025, it is unrealistic to onboard or manage these devices by manually interacting with each device. In addition, providing local network credentials at the time of manufacture requires the manufacturer to customize network-layer onboarding on a build-to-order basis, which prevents the manufacturer from taking full advantage of the economies of scale that could result from building identical devices for its customers.  2025年までに世界中で400億台のIoTデバイスが接続されると予想される中、各デバイスと手作業でやり取りしてこれらのデバイスをオンボードしたり管理したりするのは非現実的だ。さらに、製造時にローカル・ネットワーク認証情報をプロバイダが提供する場合、メーカーは受注生産ベースでネットワーク層のオンボーディングをカスタマイズする必要がある。
There is a need to have a scalable, automated mechanism to securely manage IoT devices throughout their lifecycles and, in particular, a trusted mechanism for providing IoT devices with their network credentials and access policy at the time of deployment on the network. It is easy for a network to falsely identify itself, yet many IoT devices onboard to networks without verifying the network’s identity and ensuring that it is their intended target network. Also, many IoT devices lack user interfaces, making it cumbersome to manually input network credentials. Wi-Fi is sometimes used to provide credentials over an open (i.e., unencrypted) network, but this onboarding method risks credential disclosure. Most home networks use a single password shared among all devices, so access is controlled only by the device’s possession of the password and does not consider a unique device identity or whether the device belongs on the network. This method also increases the risk of exposing credentials to unauthorized parties. Providing unique credentials to each device is more secure, but providing unique credentials manually would be resource-intensive and error-prone, would risk credential disclosure, and cannot be performed at scale.   IoT デバイスをライフサイクルを通じて安全に管理するためのスケーラブルで自動化されたメカニズムが必要であり、特に、IoT デバイスにネットワーク認証情報とアクセス・ポリシーをネットワークに展開する際に提供するための信頼できるメカニズムが必要である。ネットワークがそれ自身を偽って識別するのは簡単だが、多くのIoTデバイスはネットワークの識別を検証せず、それが意図したターゲット・ネットワークであることを確認せずにネットワークにオンボードしている。また、多くのIoTデバイスにはユーザー・インターフェースがないため、ネットワークの認証情報を手動で入力するのが面倒である。オープンな(つまり暗号化されていない)ネットワーク上でクレデンシャルをプロバイダとして提供するためにWi-Fiが使用されることがあるが、このオンボーディング方法はクレデンシャル漏洩のリスクがある。ほとんどのホーム・ネットワークは、すべてのデバイス間で共有される単一のパスワードを使用するため、アクセスはデバイスがパスワードを所有していることのみによって制御され、固有のデバイス ID やデバイスがネットワークに属しているかどうかは考慮されない。この方法はまた、認証情報を無許可の当事者にさらすリスクを増大させる。各デバイスに一意のクレデンシャルを提供することはより安全であるが、一意のクレデンシャルを手動で提供することは、リソース集約的でエラーが発生しやすく、クレデンシャル漏えいのリスクがあり、大規模に実行できない。 
Once a device is connected to the network, if it becomes compromised, it can pose a security risk to both the network and other connected devices. Not keeping such a device current with the most recent software and firmware updates may make it more susceptible to compromise. The device could also be attacked through the receipt of malicious payloads. Once compromised, it may be used to attack other devices on the network.   いったんデバイスがネットワークに接続されると、それが侵害された場合、ネットワークと他の接続デバイスの両方にセキュリティリスクをもたらす可能性がある。そのようなデバイスを最新のソフトウェアとファームウェア・アップデートに更新しておかないと、侵害を受けやすくなる可能性がある。デバイスはまた、悪意のあるペイロードを受け取ることで攻撃される可能性もある。いったん侵害されると、ネットワーク上の他のデバイスを攻撃するために使用される可能性がある。 
OUTCOME  成果 
The outcome of this project is development of example trusted onboarding solutions, demonstration that they support various scenarios, and publication of the findings in this practice guide, a NIST Special Publication (SP) 1800 that is composed of multiple volumes targeting different audiences.  このプロジェクトの成果は、信頼されるオンボーディング・ソリューションの例を開発し、それらが様々なシナリオをサポートすることを実証し、その知見をこの実践ガイド(NIST 特別刊行物(SP)1800 で公表することである。
This practice guide can help IoT device users:  このプラクティス・ガイドは、IoT デバイス・ユーザーを支援する: 
Understand how to onboard their IoT devices in a trusted manner to:  IoT デバイスを信頼できる方法で搭載する方法を理解する: 
§ Ensure that their network is not put at risk as new IoT devices are added to it  § 新しい IoT デバイスがネットワークに追加されても、ネットワークがリスクにさらされないようにする。
§ Safeguard their IoT devices from being taken over by unauthorized networks  § IoT デバイスが不正なネットワークに乗っ取られないように保護する。
§ Provide IoT devices with unique credentials for network access  § IoT デバイスにネットワークアクセス用の固有の認証情報をプロバイダとして提供する。
§ Provide, renew, and replace device network credentials in a secure manner  § デバイスのネットワーク認証情報を安全な方法で提供、更新、交換する。
§ Support ongoing protection of IoT devices throughout their lifecycles   § IoT デバイスのライフサイクルを通じて継続的な保護をサポートする。 
This practice guide can help manufacturers and vendors of semiconductors, secure storage components, IoT devices, and network onboarding equipment:  このプラクティス・ガイドは、半導体、セキュア・ストレージ・コンポーネント、IoT デバイス、ネットワーク・オンボーディング機器の製造業者やベンダーに役立つ: 
Understand the desired security properties for supporting trusted network-layer onboarding and explore their options with respect to recommended practices for:  信頼されたネットワーク層オンボーディングをサポートするために望ましいセキュリティ特性を理解し、以下の推奨プラクティスに関する選択肢を検討する: 
§ Providing unique credentials into secure storage on IoT devices at time of manufacture to mitigate supply chain risks (i.e., device credentials)  § サプライチェーンリスクを軽減するために、製造時に一意のクレデンシャルを IoT デバイスの安全なストレージにプロバイダする(すなわち、デバイスのクレデンシャル)。
§ Installing onboarding software onto IoT devices  § IoT 機器にオンボーディング・ソフトウェアをインストールする。
§ Providing IoT device purchasers with information needed to onboard the IoT devices to their networks (i.e., device bootstrapping information)       § IoT デバイスの購入者に、IoT デバイスをネットワークにオンボードするために必要な情報(すなわち、 デバイスのブートストラップ情報)を提供する。     
§ Integrating support for network-layer onboarding with additional security capabilities to provide ongoing protection throughout the device lifecycle   § ネットワーク層のオンボーディングのサポートを追加のセキュリティ機能と統合し、デバイスのライフサイクル全体を通じて継続的な保護を提供する。 
SOLUTION  解決策 
The NCCoE recommends the use of trusted network-layer onboarding to provide scalable, automated, trusted ways to provide IoT devices with unique network credentials and manage devices throughout their lifecycles to ensure that they remain secure. The NCCoE is collaborating with technology providers and other stakeholders to implement example trusted network-layer onboarding solutions for IoT devices that:  NCCoE は、IoT デバイスに固有のネットワーク認証情報を提供し、デバイスのライフサイクル全体を通じてデバイスを管理し、デバイスの安全性を確実に維持するためのスケーラブルで自動化された信頼できる方法を提供するために、信頼できるネットワーク層オンボーディングの使用を推奨する。NCCoE は、テクノロジー・プロバイダやその他の利害関係者と協力して、以下のような IoT デバイス用の信頼されたネットワーク・レイヤ・オンボーディング・ソリューションの例を実装している: 
§ provide each device with unique network credentials,  § 各デバイスに一意のネットワーク認証情報を提供する、 
§ enable the device and the network to mutually authenticate,  § デバイスとネットワークの相互認証を可能にする、 
§ send devices their credentials over an encrypted channel,  § 暗号化されたチャネルを介してデバイスに認証情報を送信する、 
§ do not provide any person with access to the credentials, and  § 認証情報へのアクセスをいかなる人物にも提供しない。
§ can be performed repeatedly throughout the device lifecycle.   § は、デバイスのライフサイクルを通じて繰り返し実行できる。 
The capabilities demonstrated include:  実証された機能は以下の通り: 
§ trusted network-layer onboarding of IoT devices,  § IoTデバイスの信頼されたネットワーク層オンボーディング、 
§ repeated trusted network-layer onboarding of devices to the same or a different network,  § 同じネットワークまたは異なるネットワークへのデバイスの信頼されたネットワーク層オンボーディングの繰り返し、 
§ automatic establishment of an encrypted connection between an IoT device and a trusted application service (i.e., trusted application-layer onboarding) after the IoT device has performed trusted network-layer onboarding and used its credentials to connect to the network, and  § IoT デバイスがトラステッド・ネットワークレイヤーのオンボーディングを実行し、その認証情報を使用してネットワークに接続した後、IoT デバイスとトラステッド・アプリケーション・サービスとの間で暗号化された接続を自動的に確立する(すなわち、トラステッド・アプリケーションレイヤーのオンボーディング)。
§ software-based methods to provide device credentials in the factory and transfer device bootstrapping information from device manufacturer to device purchaser.   § 工場内でデバイス認証情報を提供し、デバイスのブートストラップ情報をデバイス製造業者からデバイ ス購入者に転送するソフトウェアベースの方法。 
Future capabilities may include demonstrating the integration of trusted network-layer onboarding with zero trust-inspired mechanisms such as ongoing device authorization, renewal of device network credentials, device attestation to ensure that only trusted IoT devices are permitted to be onboarded, device lifecycle management, and enforcement of device communications intent.  将来的には、信頼されたネットワーク層オンボーディングと、継続的なデバイス認証、デバイス・ネットワーク認証情報の更新、信頼されたIoTデバイスのみがオンボーディングを許可されることを保証するためのデバイス認証、デバイス・ライフサイクル管理、デバイス・コミュニケーション・インテントの実施など、ゼロトラストにインスパイアされたメカニズムとの統合を実証することができる。
This demonstration follows an agile methodology of building implementations (i.e., builds) iteratively and incrementally, starting with network-layer onboarding and gradually integrating additional capabilities that improve device and network security throughout a managed device lifecycle. This includes factory builds that simulate activities performed to securely provide device credentials during the manufacturing process, and five network-layer onboarding builds that demonstrate the Wi-Fi Easy Connect, Bootstrapping Remote Secure Key Infrastructure, and Thread Commissioning protocols. These builds also demonstrate both streamlined and independent trusted application-layer onboarding approaches, along with policy-based continuous assurance and authorization. The example implementations use technologies and capabilities from our project collaborators (listed below).   このデモは、実装(すなわちビルド)を反復的かつ段階的に構築するアジャイル手法に従っており、ネットワーク層のオンボーディングから始まり、管理されたデバイスのライフサイクル全体を通じてデバイスとネットワークのセキュリティを改善する追加機能を徐々に統合していく。これには、製造プロセス中にデバイス認証情報を安全に提供するために実行される活動をシミュレートする工場ビルドと、Wi-Fi Easy Connect、Bootstrapping Remote Secure Key Infrastructure、Thread Commissioningプロトコルを実証する5つのネットワーク層オンボーディングビルドが含まれる。また、これらのビルドは、ポリシー・ベースの継続的な保証と承認とともに、合理的で独立した信頼できるアプリケーション層のオンボーディング・アプローチの両方を実証している。実装例では、プロジェクトの共同研究者(以下にリストアップ)の技術と機能を使用している。 
Collaborators  協力者 
Aruba, a Hewlett Packard Enterprise company  ヒューレット・パッカード・エンタープライズ傘下のAruba社 
CableLabs  ケーブルラボ 
Cisco  シスコ 
Foundries.io  Foundries.io 
Kudelski IoT  クデルスキーIoT 
NquiringMinds  NquiringMinds 
NXP Semiconductors  NXPセミコンダクターズ 
Open Connectivity Foundation  オープンコネクティビティ財団 
Sandelman Software Works  サンデルマン・ソフトウェア・ワークス 
Silicon Labs  シリコンラボ 
WISeKey  WISeKey 
While the NCCoE uses a suite of commercial products, services, and proof-of-concept technologies to address this challenge, this guide does not endorse these particular products, services, and technologies, nor does it guarantee compliance with any regulatory initiatives. Your organization's information security experts should identify the products and services that will best integrate with your existing tools, IT and IoT system infrastructure, and operations. Your organization can adopt these solutions or one that adheres to these guidelines in whole, or you can use this guide as a starting point for tailoring and implementing parts of a solution.  NCCoE は、この課題に対処するために一連の商用製品、サービス、および概念実証技術を使用しているが、本ガイドは、これらの特定の製品、サービス、および技術を推奨するものではなく、また、いかなる規制イニシアチブへの準拠を保証するものでもない。組織の情報セキュリティ専門家は、既存のツール、IT、IoT システムのインフラ、および運用と最もよく統合できる製品やサービスを特定する必要がある。貴組織は、これらのソリューションまたはこれらのガイドラインに準拠したソリューションを全面的に採用することもできるし、本ガイドを出発点としてソリューションの一部をカスタマイズして導入することもできる。
HOW TO USE THIS GUIDE  このガイドの使い方 
Depending on your role in your organization, you might use this guide in different ways:  組織におけるあなたの役割によって、このガイドの使い方は異なる: 
Business decision makers, such as chief information security, product security, and technology officers, can use this part of the guide, NIST SP 1800-36A: Executive Summary, to understand the project’s challenges and outcomes, as well as our solution approach.  最高情報セキュリティ責任者、製品セキュリティ責任者、技術責任者などのビジネス意思決定者は、本ガイドのこの部分「NIST SP 1800-36A:エグゼクティブサマリー」を使用して、プロジェクトの課題と成果、および当社のソリューションアプローチを理解することができる。
Technology, security, and privacy program managers who are concerned with how to identify, understand, assess, and mitigate risk can use NIST SP 1800-36B: Approach, Architecture, and Security Characteristics. This part of the guide describes the architecture and different implementations. Also, NIST SP 1800-36E: Risk and Compliance Management, maps components of the trusted onboarding reference architecture to security characteristics in broadly applicable, well-known cybersecurity guidelines and practices.  リスクを識別、理解、評価、軽減する方法に関心のある技術、セキュリティ、プライバシーのプログラムマネージャは、NIST SP 1800-36B: アプローチ、アーキテクチャ、セキュリティ特性を使用することができる。このパートでは、アーキテクチャとさまざまな実装について説明している。また、NIST SP 1800-36E: リスクとコンプライアンスのマネジメントでは、信頼されるオンボーディングの参照アーキテクチャのコンポーネントを、広く適用可能な周知のサイバーセキュリティガイドラインとプラクティスのセキュリティ特性にマッピングしている。
IT professionals who want to implement an approach like this can make use of NIST SP 1800-36C: HowTo Guides. It provides product installation, configuration, and integration instructions for building example implementations, allowing them to be replicated in whole or in part. They can also use NIST SP 1800-36D: Functional Demonstrations, which provides the use cases that have been defined to showcase trusted network-layer onboarding and lifecycle management security capabilities and the results of demonstrating these capabilities with each of the example implementations.  このようなアプローチを実装したいIT専門家は、NIST SP 1800-36C: HowTo Guidesを活用することができる。このガイドには、実装例を構築するための製品のインストール、構成、統合の手順が記載されており、これらの全部または一部を複製することができる。また、NIST SP 1800-36D: Functional Demonstrations を利用することもできる。これは、信頼されたネットワーク層のオンボーディングとライフサイクル管理のセキュリティ機能を示すために定義されたユースケースと、各実装例でこれらの機能を実証した結果を提供するものである。

 

 

D巻...

・[PDF] NIST SP 1800-36D 2prd

20230930-45903

 

目次...

Contents  目次 
1  Introduction 1 序文
1.1  How to Use This Guide 1.1 本ガイドの使用方法
2  Functional Demonstration Playbook 2 機能デモプレイブック
2.1  Scenario 0: Factory Provisioning 2.1 シナリオ0:工場でのプロビジョニング
2.2  Scenario 1: Trusted Network-Layer Onboarding 2.2 シナリオ1:信頼できるネットワークレイヤーのオンボーディング
2.3  Scenario 2: Trusted Application-Layer Onboarding 2.3 シナリオ2:信頼できるアプリケーションレイヤーのオンボーディング
2.4  Scenario 3: Re-Onboarding a Device 2.4 シナリオ3:デバイスの再オンボーディング
2.5  Scenario 4: Ongoing Device Validation 2.5 シナリオ4:継続的なデバイス検証
2.6  Scenario 5: Establishment and Maintenance of Credential and Device Security Posture Throughout the Lifecycle 2.6 シナリオ5:ライフサイクルを通してのクレデンシャルおよびデバイスのセキュリティ態勢の確立と保守
3  Functional Demonstration Results 3 機能実証結果
3.1  Build 1 Demonstration Results 3.1 構築 1 の実証結果
3.2  Build 2 Demonstration Results 3.2 構築 2 の実証結果
3.3  Build 3 Demonstration Results 3.3 構築 3 の実証結果

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.07 米国 NIST SP 1800-36 (ドラフト) 信頼できるIoTデバイスのネットワーク層オンボーディングとライフサイクル管理:インターネットプロトコルベースのIoTデバイスとネットワークのセキュリティ強化(初期ドラフト)(2023.05.03)

・2022.12.13 NIST SP 1800-36 (ドラフト) 信頼できるIoTデバイスのネットワーク層オンボーディングとライフサイクル管理:インターネットプロトコルベースのIoTデバイスとネットワークのセキュリティ強化(初期ドラフト)(2022.12.05)

 

SP 800-213, NIST IR 8259関係

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

・2021.11.30 NIST SP 800-213 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイスのサイバーセキュリティ要件の確立、SP 800-213A 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイス・サイバーセキュリティ要件カタログ

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

IoTのネットワーク関係

・2022.01.21 NISTIR 8349(ドラフト)IoTデバイスのネットワーク動作を特徴づける方法論 at 2022.01.11

 

消費者向けの方...

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.05.15 NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか?

・2021.03.31 NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨

 

法制化の件...

・2020.11.19 米国 2020年IoTサイバーセキュリティ改善法が上院を通過

・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている?

 

 

| | Comments (0)

NIST IR 8476 第3回 高性能コンピューティングセキュリティワークショップ: NIST-NSF合同ワークショップ報告書

こんにちは、丸山満彦です。

米国連邦政府の決算期は10月1日−9月30日ですので。。。急にいろいろと駆け込みでね。。。どこの国も同じかもですね。。。

 

● NIST - ITL

・2023.09.26 NIST IR 8476 3rd High-Performance Computing Security Workshop: Joint NIST-NSF Workshop Report

 

NIST IR 8476 3rd High-Performance Computing Security Workshop: Joint NIST-NSF Workshop Report NIST IR 8476 第3回高性能コンピューティングセキュリティワークショップ: NIST-NSF合同ワークショップ報告書
Abstract 概要
High-performance computing (HPC) is a vital computational infrastructure for processing large data volumes, performing complex simulations, and conducting advanced machine learning model training. As such, HPC is a critical component of scientific discovery, innovation, and economic competitiveness. Cybersecurity thus plays an important role in HPC by safeguarding against abuse and misuse and ensuring data and research integrity. However, HPC systems often have unique hardware, software, and user environments that pose distinct cybersecurity challenges. This collaborative workshop gathered stakeholders from government, academia, and industry to discuss community needs, ongoing activities, and future directions in HPC security. This public workshop report provides detailed summaries of technical sessions, key takeaways from breakout sessions, and a summary of the keynote presentations. ハイパフォーマンス・コンピューティング(HPC)は、大量のデータを処理し、複雑なシミュレーションを実行し、高度な機械学習モデルのトレーニングを行うために不可欠な計算インフラである。そのため、HPCは科学的発見、イノベーション、経済競争力の重要な要素となっている。そのためサイバーセキュリティは、悪用や誤用から保護し、データと研究の完全性を確保することで、HPCにおいて重要な役割を果たしている。しかし、HPCシステムには独特のハードウェア、ソフトウェア、ユーザー環境が存在することが多く、サイバーセキュリティに特有の課題がある。この共同ワークショップでは、政府、学術界、産業界から関係者を集め、HPCセキュリティにおけるコミュニティのニーズ、進行中の活動、将来の方向性について議論した。この公開ワークショップの報告書では、テクニカルセッションの詳細な要約、分科会の主要な要点、および基調講演の要約を提供する。

 

・[PDF] NIST.IR.8476

20230930-45219

目次...

1. Introduction: Workshop Objective, Participants, and Agenda 1. 序文 ワークショップの目的、参加者、アジェンダ
2. Workshop Session Highlights and Summaries 2. ワークショップ・セッションのハイライトとサマリー
2.1. HPC Architecture and Security Posture 2.1. HPCアーキテクチャとセキュリティ体制
2.2. HPC Operator Security Experience 2.2. HPCオペレーターのセキュリティ経験
2.3. Risk Management Framework Development, Implementation, and Assessment 2.3. リスクマネジメントフレームワークの開発、実施、アセスメント
2.3.1. Presentation on the Trusted CI Framework 2.3.1. 信頼されるCIフレームワークに関するプレゼンテーション
2.3.2. Presentation on the Development of TOSS 4 STIG 2.3.2. TOSS 4 STIGの開発に関するプレゼンテーション
2.3.3. Panel Discussion 2.3.3. パネルディスカッション
2.4. HPC Security Research 2.4. HPCセキュリティ研究
2.5. HPC Vendor Viewpoints 2.5. HPCベンダーの視点
3. Breakout Session Key Takeaways 3. ブレークアウトセッション
3.1. HPC System Vulnerabilities and Threats 3.1. HPCシステムの脆弱性と脅威
3.2. HPC RMF: Challenges and Opportunities 3.2. HPC RMF:課題と機会
3.3. HPC Security Implementations, Best Practices, and Challenges 3.3. HPCセキュリティの実装、ベストプラクティス、および課題
3.4. Future HPC System and Its Implications for Security 3.4. 将来のHPCシステムとセキュリティへの影響
3.4.1. Hardware 3.4.1. ハードウェア
3.4.2. Software 3.4.2. ソフトウェア
3.4.3. Policy 3.4.3. ポリシー
4. Keynote Summary 4. 基調講演の概要
4.1. Keynote 1 — The NSF HPC Security Landscape: Research Challenges to Production Capabilities 4.1. 基調講演 1 - NSF HPC のセキュリティ状況: 生産能力への研究課題
4.2. Keynote 2 — DoE’s Office of Science HPC Cybersecurity 4.2. 基調講演 2 - DoE's Office of Science HPC サイバーセキュリティ
4.3. Keynote 3 — Usable Computer Security and Privacy to Enable Data Sharing in HighPerformance Computing Environments 4.3. 基調講演 3 - 高性能コンピューティング環境におけるデータ共有を可能にする利用可能なコンピュータセキュリティとプライバシー

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.21 CSA ハイパフォーマンス・コンピューティング机上演習ガイド

・2023.02.08 NIST SP 800-223 (ドラフト) 高性能コンピューティング(HPC)セキュリティ:アーキテクチャ、脅威の分析、およびセキュリティ状態

 

 

| | Comments (0)

2023.09.29

日本銀行金融研究所 量子コンピュータが暗号に及ぼす影響にどう対処するか:海外における取組み

こんにちは、丸山満彦です。

先日、Entrsut Japanで講演をさせていただいたのですが、Entrustの技術責任者の方と時間があり、耐量子暗号への移行についての話をしました。やることは、明確なのだけれども、その準備と実施が大変だという話をしていました。なので、時間をとって準備をきっちりしないとね。。。という結論でしたね。。。

2025年の米国連邦政府のセキュリティ予算の優先4の項目としてあがっていますよね。。。耐量子暗号への移行の話。。。

 

さて、日本銀行金融研究所が、ディスカッションペーパーとセミナー資料を公表していますね。。。

安定の宇根さんのペーパーはもちろん重要ですが、菅野さんのハイブリッドモードの話がわかりやすくて参考になりました!

 

ディスカッションペーパー

・2023.09.27 量子コンピュータが暗号に及ぼす影響にどう対処するか:海外における取組み (宇根正志)

・[PDF]

20230929-54056

 

セミナー...

・2023.09.21 情報セキュリティ・セミナー「量子コンピュータが暗号を解読する日はくるのか?~耐量子計算機暗号(PQC)への移行に向けた取組み~」

講演1:宇根 正志 (日本銀行 金融研究所 参事役)

概要:海外では、PQCへの移行に向けた検討が活発化しています。米国ではPQCの標準化が進められているほか、欧州の主要国等でも暗号移行などの検討の実施が推奨されています。また、金融業界においても、FS-ISAC*が、PQCへの移行に関する検討を進めています。本講演では、量子コンピュータによる暗号解読のリスクや対応に関するスタンス、PQCへの移行を検討する際の推奨事項に関して、海外の動向を紹介するともに、金融分野において対応を検討する際の留意事項や課題を考察しました。

・[PDF] 海外における耐量子計算機暗号(PQC)への移行を見据えた取組み

20230929-54901

 

講演2:菅野 哲 氏(GMOサイバーセキュリティ byイエラエ株式会社 取締役CTO of Development)

概要:量子コンピュータによる暗号の危殆化を見据えてPQCへ暗号移行する際の対応策の1つとして「ハイブリッドモード」が提案されています。これは、現行暗号とPQCを併用することで、いずれかの暗号方式が安全でなくなった場合やPQCに完全移行していない状況であっても安全性を維持する方法です。本講演では、ハイブリッドモードの標準化に向けた動向や、オープンソースソフトウェア(OSS)など技術面の実装状況について紹介しました。

・[PDF] 耐量子計算機暗号(PQC)への暗号移行に向けた技術動向

20230929-54912

 


 

・2023.08.25 米国 NIST パブコメ FIPS 203 モジュール・ラティス・ベースの鍵カプセル化メカニズム標準, FIPS 204 モジュール-格子ベース電子署名標準, FIPS 205 ステートレス・ハッシュベース・デジタル署名標準

・2023.08.22 米国 CISA NSA NIST 量子対応:耐量子暗号への移行

・2023.07.09 米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)

・2023.06.09 NIST SP 800-225 2022年度サイバーセキュリティ・プライバシー年次報告書 (2023.05.30)

・2023.05.27 英国 Oxford AcademicのJournal of Cybersecurity, Volume 9, Issue 1の記事はどれも興味深い...

・2023.04.26 米国 NIST SP 1800-38A「耐量子暗号への移行」の初期ドラフト

・2023.04.14 オランダ 耐量子暗号への移行等に関するハンドブック

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2023.02.08 中国 データセキュリティ産業の発展促進に関する16部署の指導意見 (2023.01.14)

・2022.10.21 ENISA ポスト量子暗号 - 統合研究

・2022.10.02 NIST SP 800-220 2021年度サイバーセキュリティ・プライバシー年次報告書 (2022.09.26)

・2022.10.02 NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告(参考文献の追加)

・2022.09.09 米国 NSA 国家安全保障システムのための将来の耐量子(QR)アルゴリズム要件を発表

・2022.07.07 NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告

・2022.05.05 米国 国家量子推進諮問委員会の強化に関する大統領令

・2022.03.05 NATO サイバーセキュリティセンター 量子コンピュータの攻撃に耐えられるセキュアネットワークの実験に成功

・2021.12.20 ドイツ BSI 量子セキュア暗号の現状に関するガイドライン

・2021.10.26 Cloud Security Alliance 量子後の世界への実践的な備え at 2021.10.19

・2021.10.06 米国 DHS CISA 量子コンピューティングの進展に伴うセキュリティリスクを軽減するためのガイダンス

・2021.04.29 NIST White Paper ポスト量子暗号への備え:ポスト量子暗号アルゴリズムの採用と使用に関連する課題の調査

・2021.02.10 ENISA 暗号に関する2つの報告書 「ポスト量子暗号:現状と量子緩和」と「暗号資産:デジタル通貨と分散型台帳技術の概要」

 

 

| | Comments (0)

米国 中国 経済・金融作業部会の設置 (2023.09.22)

こんにちは、丸山満彦です。

デカップリングとかいう話もでてきますが、おそらくそれは極限られた領域で、米国圏と中国圏と世界を真っ二つにわけることは、普通の人にとってはやるべきではないと思っているでしょうね。それはおそらく、米国でも中国でも同じ。。。多くの国民にとって、政治問題よりも、国民の生命が重要(特に中国は一人っ子政策をとった時代がありますしね。。。)、そして、国民の経済。。。米国の場合、国民の財産の多くは企業への投資になっているので、戦争等によって世界経済が傾くと、大きな損失がでますからね。。。

ということもあるのでしょうか?

米国と中国で、経済・金融作業部会というのが設置されますね。。。これは、既定路線を実行に移したということですね。。。

経済作業部会は、米国財務省+中国財政部、金融作業部会は、米国財務省+中国人民銀行、ということのようです。。。

 

米国側(財務省の発表...)


・2023.09.22 Treasury Department Announces Launch of Economic and Financial Working Groups with the People’s Republic of China

Treasury Department Announces Launch of Economic and Financial Working Groups with the People’s Republic of China 財務省、中華人民共和国との経済・金融作業部会の発足を発表
Today, the United States and the People’s Republic of China launched an Economic Working Group and a Financial Working Group under the direction of Secretary of the Treasury Janet Yellen and Vice Premier He Lifeng. The two Working Groups will provide ongoing structured channels for frank and substantive discussions on economic and financial policy matters, as well as an exchange of information on macroeconomic and financial developments. The formation of these Working Groups builds on the consensus reached between Secretary Yellen and Vice Premier He during the Secretary’s trip to Beijing in July, and carries out President Biden’s directive to deepen communication between the two countries following his meeting with President Xi in Bali last year. 本日、米国と中華人民共和国は、ジャネット・イエレン財務長官と何立峰副首相の指揮の下、経済作業部会と金融作業部会を発足させた。この2つの作業部会は、率直かつ実質的な協議のための継続的な構造的チャンネルを提供する。2つの作業部会は、経済・金融政策に関する率直で実質的な議論や、マクロ経済・金融情勢に関する情報交換のための継続的な構造的チャンネルを提供する。これらの作業部会の設置は、イエレン副総理が7月に北京を訪問した際に、イエレン副総理と何副総理との間で合意された内容に基づくものでり、昨年の習主席とのバリでの会談後、両国のコミュニケーションを深めるというバイデン大統領の指示を実行するものである。
The Economic Working Group will be led by the U.S. Department of the Treasury and China’s Ministry of Finance. The Financial Working Group will be led by the U.S. Department of the Treasury and the People’s Bank of China. The two groups will meet at the Vice Minister level on a regular cadence and report to Secretary Yellen and Vice Premier He. 経済作業部会は米財務省と中国財政部が主導する。金融作業部会は、米財務省と中国人民銀行が主導する。この2つの作業部会は定期的に次官レベルで会合を開き、イエレン長官と何副首相に報告する。

 

中国側 (財政部)

中华人民共和国财政部

・2023.09.22 中美成立经济领域工作组

中美成立经济领域工作组 中米、経済分野の作業部会を設置
新华社北京9月22日电 记者22日从财政部获悉,为落实中美两国元首巴厘岛会晤重要共识,根据国务院副总理、中美经贸中方牵头人何立峰与美国财政部部长珍妮特·耶伦达成的共识,中美双方商定,成立经济领域工作组,包括“经济工作组”和“金融工作组”。“经济工作组”由中美两国财政部副部长级官员牵头,“金融工作组”由中国人民银行和美国财政部副部长级官员牵头。两个工作组将定期、不定期举行会议,就经济、金融领域相关问题加强沟通和交流。 北京9月22日(新華社) -- 記者は9月22日、財政部から得た情報によると、中米両国首脳のバリ会談の重要なコンセンサスを実行に移すため、国務院副総理、中米経済貿易指導者の何立峰氏とイエレン米財務長官との合意により、中米両国は「経済作業部会」と「金融作業部会」を含む経済分野の作業部会を設置することで合意した。 経済作業部会」と「金融作業部会」である。 「経済作業部会」は中国と米国の財務省の副大臣級職員が、「金融作業部会」は中国人民銀行と米国財務省の副大臣級職員がそれぞれ主導する。 この2つの作業部会は、定期的・不定期に会合を開き、経済・金融分野に関連する問題についての意思疎通と交流を強化する。

 

中国人民銀行

・2023.09.22 中美成立经济领域工作组

中美成立经济领域工作组 中米、経済分野の作業部会を設置
为落实中美两国元首巴厘岛会晤重要共识,根据国务院副总理、中美经贸中方牵头人何立峰与美国财政部部长珍妮特·耶伦达成的共识,中美双方商定,成立经济领域工作组,包括“经济工作组”和“金融工作组”。“经济工作组”由中美两国财政部副部长级官员牵头,“金融工作组”由中国人民银行和美国财政部副部长级官员牵头。两个工作组将定期、不定期举行会议,就经济、金融领域相关问题加强沟通和交流。  中米両国首脳のバリ会談の重要なコンセンサスを実行に移すため、国務院副総理、中米経済貿易指導者の何立峰氏とイエレン米財務長官との合意により、中米両国は「経済作業部会」と「金融作業部会」を含む経済分野の作業部会を設置することで合意した。 経済作業部会」と「金融作業部会」である。 「経済作業部会」は中国と米国の財務省の副大臣級職員が、「金融作業部会」は中国人民銀行と米国財務省の副大臣級職員がそれぞれ主導する。 この2つの作業部会は、定期的・不定期に会合を開き、経済・金融分野に関連する問題についての意思疎通と交流を強化する。

 

 

1_20230929050301


 

JETRO

・2023.09.27 中国政府、米国と経済・金融ワーキンググループ設置

・2023.09.25 米財務省、中国と経済・金融に関するワーキンググループを設置


| | Comments (0)

2023.09.28

警察庁 NISC 中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について with 米国 NSA, FBI, CISA

こんにちは、丸山満彦です。

日本も、サイバー攻撃者についてのパブリックアトリビューションをしていくということですね。。。今回は、警察庁とNISCが、米国家安全保障局(NSA)、米連邦捜査局(FBI)及び米国土安全保障省サイバーセキュリティ・インフラ庁(CISA)とともに、中国を背景とするサイバー攻撃グループ「BlackTech」(ブラックテック)によるサイバー攻撃に関する合同の注意喚起を発出しています。。。

国際連携は重要ですね。。。

 

警察庁 - サイバー警察局

・2023.09.27 中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について

・[PDF

20230928-62258

 

NISC

・2023.09.27 中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について 注意喚起

 

 


米国側...

NSA

・2023.09.27 U.S. and Japanese Agencies Issue Advisory about China Linked Actors Hiding in Router Firmware

U.S. and Japanese Agencies Issue Advisory about China Linked Actors Hiding in Router Firmware ルーター・ファームウェアに潜む中国関連行為者について日米の機関が勧告を発表
FORT MEADE, Md. - The National Security Agency (NSA), U.S. Federal Bureau of Investigation (FBI), U.S. Cybersecurity and Infrastructure Security Agency (CISA), Japan National Police Agency (NPA), and Japan National Center of Incident Readiness and Strategy for Cybersecurity (NISC) are releasing the joint Cybersecurity Advisory (CSA) “People’s Republic of China-Linked Cyber Actors Hide in Router Firmware” about the activities of BlackTech cyber actors. フォートミード(米マサチューセッツ州)- 国家安全保障局(NSA)、米国連邦捜査局(FBI)、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、警察庁、国家サイバーセキュリティ戦略センター(NISC)は、BlackTechサイバー行為者の活動に関する共同サイバーセキュリティ勧告(CSA)「中華人民共和国系サイバー行為者がルーターファームウェアに潜む」を発表した。
BlackTech, also known as Palmerworm, Temp. Overboard, Circuit Panda, and Radio Panda, has targeted government, industrial, technology, media, electronics, and telecommunication sectors. As a multinational threat linked to the People’s Republic of China (PRC), the actors have demonstrated capabilities in modifying router firmware without detection. BlackTechは、Palmerworm、Temp. Overboard、Circuit Panda、Radio Pandaとしても知られるBlackTechは、政府、産業、テクノロジー、メディア、エレクトロニクス、テレコミュニケーションの各セクターを標的としている。中華人民共和国(PRC)に関連する多国籍の脅威として、脅威行為者は検知されることなくルータのファームウェアを変更する能力を実証している。
The CSA details tactics, techniques, and procedures (TTPs) used by BlackTech actors to compromise international subsidiaries, as well as recommended detection and mitigation techniques to defend against this threat. The CSA also highlights the need for multinational corporations to review all subsidiary connections, verify access, and consider implementing zero trust models to limit the extent of a potential compromise.  CSA は、BlackTech の脅威行為者が国際的な子会社を侵害するために使用する戦術、技術、手順 (TTPs)、およびこの脅威を防御するために推奨される検知と低減技術について詳述している。CSA はまた、多国籍企業がすべての子会社との接続を見直し、アクセスを検証し、潜在的な侵害の範囲を限定するためにゼロ・トラスト・モデルの導入を検討する必要性を強調している。
“Cyber actors look for the easiest way into their targeted network, like a thief checking vehicles for unlocked doors,” said Rob Joyce, NSA Cybersecurity Director. “Raising awareness of this malicious activities helps with not only hardening our defenses, but also those of our international allies, critical infrastructure, and private sector organizations.  We need to keep these actors out of our networks.”   「NSA サイバーセキュリティ・ディレクターのロブ・ジョイスは、「サイバー行為者は、泥棒が車のドアに鍵がかかっていないかチェックするように、標的のネットワークに最も簡単に侵入できる方法を探している。「このような悪質な行為に対する認識を高めることは、我々の防衛を強化するだけでなく、国際的な同盟国、重要なインフラ、民間組織の防衛にも役立つ。 我々は、このような行為者を我々のネットワークから締め出す必要がある。 
As indicated in the CSA, the BlackTech actors target network routers typically used at remote branch offices to connect to corporate networks. The actors have compromised several Cisco routers using variations of TTPs to conceal configuration changes, hide commands, disable logging, and pivot between international subsidiaries’ and domestic headquarters’ networks. CSA に示されているように、BlackTech の行為者は、通常、リモート支店で企業ネットワークに接続するために使用されるネットワーク・ルータを標的としている。この行為者は、コンフィギュレーション変更の隠蔽、コマンドの隠蔽、ロギングの無効化、海外子会社と国内本社のネットワーク間のピボットのためのTTPのバリエーションを使用して、複数のCiscoルータを侵害した。
Some of the TTPs mentioned in the CSA and used by this actor group include modifying router firmware to establish backdoors and persistence, pivoting using internal routers, and living off the land tactics to blend in with normal operating system and network activities to evade endpoint detection and response (EDR) products. BlackTech has also used a range of custom malware to target Windows, Linux, and FreeBSD operating systems. CSA で言及され、この行為者グループが使用した TTP の一部には、バックドアと永続性を確立するためにルータのファームウェアを変更すること、内部ルータを使用してピボットすること、エンドポイント検知および応答(EDR)製品を回避するために通常のオペレーティング・システムとネットワーク・アクティビティに紛れ込むために現地調達型戦術が含まれる。BlackTechはまた、Windows、Linux、およびFreeBSDオペレーティングシステムを標的とするさまざまなカスタムマルウェアも使用している。
"Subsidiaries of multinational corporations are attractive targets for threat actors," said Joyce. "The security of these subsidiaries' IT environments are sometimes overlooked, posing a significant risk for the critical systems of their international partners. We need to continue to be vigilant and work together across international industry and government to effectively implement best practices to secure vital IT environments." 「多国籍企業の子会社は、脅威行為者にとって魅力的な標的である。「これらの子会社のIT環境のセキュリティは、時に見過ごされ、国際的なパートナーの重要なシステムに重大なリスクをもたらしている。重要なIT環境を保護するためのベストプラクティスを効果的に実施するために、国際的な産業界と政府が協力して警戒を続ける必要がある。
The authoring agencies recommend implementing the mitigations in the CSA to detect malicious activities and protect devices from being compromised by BlackTech actors. 作成機関は、悪意のある活動を検知し、BlackTech の行為者によってデバイスが侵害されないように保護するために、CSA の軽減策を実施することを推奨している。
For additional information and examples of similar actors and activities, see “People’s Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices” and “People’s Republic of China State-Sponsored Cyber Actors Living off the Land to Evade Detection.” その他の情報および類似の行為者と活動の例については、"People's Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices" および "People's Republic of China State-Sponsored Cyber Actors Living Off the Land to Evade Detection" を参照のこと。

 

 

CISA

・2023.09.27 NSA, FBI, CISA, and Japanese Partners Release Advisory on PRC-Linked Cyber Actors

 

NSA, FBI, CISA, and Japanese Partners Release Advisory on PRC-Linked Cyber Actors NSA、FBI、CISA、および日本のパートナーが、中国に関連するサイバー行為者に関する勧告を発表
Today, the U.S. National Security Agency (NSA), Federal Bureau of Investigation (FBI), and Cybersecurity and Infrastructure Security Agency (CISA), along with the Japan National Police Agency (NPA) and the Japan National Center of Incident Readiness and Strategy for Cybersecurity (NISC) released joint Cybersecurity Advisory (CSA) People's Republic of China-Linked Cyber Actors Hide in Router Firmware. The CSA details activity by cyber actors, known as BlackTech, linked to the People’s Republic of China (PRC). The advisory provides BlackTech tactics, techniques, and procedures (TTPs) and urges multinational corporations to review all subsidiary connections, verify access, and consider implementing zero trust models to limit the extent of a potential BlackTech compromise. 本日、米国国家安全保障局(NSA)、連邦捜査局(FBI)、サイバーセキュリティ・インフラフラセキュリティ戦略局(CISA)は、警察庁、サイバーセキュリティ戦略センター(NISC)とともに、共同サイバーセキュリティ勧告(CSA)「ルーターのファームウェアに潜む中華人民共和国関連のサイバー行為者」を発表した。CSAは、中華人民共和国(PRC)に関連するBlackTechとして知られるサイバー行為者の活動について詳述している。この勧告は、BlackTech の戦術、技術、手順(TTP)をプロバイダとして提供し、多国籍企業に対し、BlackTech の潜在的な侵害の範囲を限定するために、すべての子会社接続を見直し、アクセスを検証し、ゼロ信頼モデルの導入を検討するよう促している。
BlackTech has demonstrated capabilities in modifying router firmware without detection and exploiting routers’ domain-trust relationships to pivot from international subsidiaries to headquarters in Japan and the United States, which are the primary targets. BlackTechは、検知されることなくルーターのファームウェアを変更し、ルーターのドメイン・トラスト関係を悪用して、国際的な子会社から主要な標的である日本や米国の本社にピボットする能力を実証している。
CISA strongly recommends organizations review the advisory and implement the detection and mitigation techniques described to protect devices and networks. For additional guidance, see People’s Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices and visit CISA’s China Cyber Threat Overview and Advisories page. CISAは、組織がこの勧告を確認し、デバイスとネットワークを保護するために、説明されている検知と低減のテクニックを実施することを強く推奨する。その他のガイダンスについては、「中華人民共和国国家に支援されたサイバー脅威行為者がネットワーク・プロバイダとデバイスを悪用」を参照し、CISAの「中国のサイバー脅威の概要と勧告」のページを参照されたい。

 

・[PDF]

20230928-62956

 

 

 

 

| | Comments (0)

英国 防衛関係者向け安全保障通知:防衛請負業者が防衛関連の機密資料に影響を及ぼすすべてのセキュリティ事故を国防総省に報告するための要件, セキュリティー面に関する書簡と契約上のセキュリティー条件

こんにちは、丸山満彦です。

2010年から英国では防衛関係者向けの業界安全保障通知を出して、リストとして公表していますね。。。2023.09.26には

  • 防衛請負業者が防衛関連の機密資料に影響を及ぼすすべてのセキュリティ事故を国防総省に報告するための要件
  • セキュリティー面に関する書簡と契約上のセキュリティー条件

の二つの通知がだされていますが、連絡先の電話番号が変わったので、変更されているというものでした。。。

(2023/5 -> 2023/11, 2023/8 -> 2023/12)

が、せっかくなので参考になることもあるかと思い、備忘録的に...

 

U.K. Gov - Government - Cyber security - Guidance Industry Security Notice (ISN)

・2023.09.26 [PDF] ISN 2023/11 Requirement for defence contractors to report all security incidents affecting defence-related classified material to the MOD

 [downloaded]

20230928-43841

・[DOCX] 仮訳

 

 

・2023.09.26 [PDF] ISN 2023/12 ISN 2023/12 Security Aspects Letters and Contractual Security Conditions

[downloaded]

20230928-43856

・[DOCX] 仮訳

 

| | Comments (0)

2023.09.27

世界経済フォーラム (WEF) 大規模言語モデル (LLM) と仕事

こんにちは、丸山満彦です。

世界経済フォーラムが、アクセンチュアと共同で、ChatGPTに代表される、大規模言語モデル(LLM)が仕事に与える潜在的な影響について考察していますね。。。幅広く分析していて、興味深いです。。。

自動車、コンピュータ、インターネット等が出てきた時と同じで、人間がいかにそれらの道具を使うのか、、、という観点で考えると、過度に恐れる必要はないということだと思います。ただ、細かくみていくと、自動車の登場、普及により馬車はなくなり、音楽配信サービスにより音楽CDの販売は激減し、スマートフォンの普及とともに、フィルムカメラはなくなった、、、というようなことは起こり得るでしょうね。。。

 

World Economic Forum - Report

・2023.09.18 Jobs of Tomorrow: Large Language Models and Jobs

 

・[PDF

20230927-145747

 

目次...

Foreword まえがき
Executive summary 要旨
Introduction: How will large language models impact the jobs of tomorrow?  序文:大規模言語モデルは明日の仕事にどのような影響を与えるか?
1 Identifying exposure potential of tasks and jobs 1 仕事とタスクの危険の可能性を識別する
1.1 Exposed tasks 1.1 危険にさらされるタスク
1.2 Detailed examples of exposed jobs 1.2 危険にさらされる仕事の詳細な例
1.3 Analysis by occupation 1.3 職業別の分析
1.4 Analysis by industry 1.4 産業別の分析
1.5 Analysis by function 1.5 機能別の分析
2 LLMs and the growth and decline of jobs and tasks 2 LLMと仕事・業務の増加・減少
2.1 Expected growth and decline of tasks 2.1 期待される仕事の増加と減少
2.2 Expected growth and decline of jobs 2.2 期待される仕事の増加と減少
Conclusion: Ensuring that large language models work for workers 結論 大規模言語モデルを労働者のために機能させる
Appendices 附属書
A1  Exposure potential by industry groups A1 産業グループ別のエクスポージャーの可能性
A2  Exposure potential by function groups A2 機能グループ別のエクスポージャーの可能性
A3  Methodology A3 方法論
Contributors  貢献者 
Endnotes 巻末資料

 

 

エグゼクティブサマリー...

Executive summary 要旨
As advances in generative artificial intelligence (AI)continue at an unprecedented pace, large language models (LLMs) are emerging as transformative tools with the potential to redefine the job landscape. The recent advancements in these tools, like GitHub’s Copilot, Midjourney and ChatGPT, are expected to cause significant shifts in global economies and labour markets. These particular technological advancements coincide with a period of considerable labour market upheaval from economic, geopolitical, green transition and technological forces. The World Economic Forum’s Future of Jobs Report 2023 predicts that 23% of global jobs will change in the next five years due to industry transformation, including through artificial intelligence and other text, image and voice processing technologies. 生成的人工知能(AI)の進歩がかつてないペースで進む中、大規模言語モデル(LLM)は、仕事の風景を再定義する可能性を秘めた変革ツールとして台頭しつつある。GitHubのCopilot、Midjourney、ChatGPTのようなこれらのツールの最近の進歩は、世界経済と労働市場に大きな変化をもたらすと期待されている。こうした特殊な技術の進歩は、経済的、地政学的、グリーンな移行、技術的な力によって労働市場が大きく変動する時期と重なる。世界経済フォーラムの「雇用の未来レポート2023」は、人工知能やその他のテキスト、画像、音声処理技術を含む産業変革により、今後5年間で世界の雇用の23%が変化すると予測している。
This white paper provides a structured analysis of the potential direct, near-term impacts of LLMs on jobs. With 62% of total work time involving languagebased tasks,1 the widespread adoption of LLMs, such as ChatGPT, could significantly impact a broad spectrum of job roles. このホワイトペーパーは、LLMが雇用に与える直接的かつ短期的な影響の可能性について、構造的な分析を提供している。全労働時間の62%が言語ベースのタスクであり1、ChatGPTのようなLLMの普及は、幅広い職務に大きな影響を与える可能性がある。
To assess the impact of LLMs on jobs, this paper provides an analysis of over 19,000 individual tasks across 867 occupations, assessing the potential exposure of each task to LLM adoption, classifying them as tasks that have high potential for automation, high potential for augmentation, low potential for either or are unaffected (non-language tasks). The paper also provides an overview of new roles that are emerging due to the adoption of LLMs. 本稿では、LLMが職務に与える影響を評価するため、867の職種にわたる19,000以上の個別タスクの分析を行い、各タスクがLLMの採用によりどのようなエクスポージャーを受ける可能性があるかを評価し、自動化の可能性が高いタスク、拡張の可能性が高いタスク、どちらの可能性も低いタスク、影響を受けないタスク(非言語タスク)に分類している。また、LLMの採用により新たに出現しつつある役割についても概観している。
The longer-term impacts of these technologies in reshaping industries and business models are beyond the scope of this paper, but the structured approach proposed here can be applied to other areas of technological change and their impact on tasks and jobs. 産業やビジネスモデルの再構築におけるこれらの技術の長期的な影響については、本稿の範囲外であるが、ここで提案した構造化アプローチは、技術革新の他の分野や、それらがタスクや仕事に与える影響にも適用できる。
The analysis reveals that tasks with the highest potential for automation by LLMs tend to be routine and repetitive, while those with the highest potential for augmentation require abstract reasoning and problem-solving skills. Tasks with lower potential for exposure require a high degree of personal interaction and collaboration. 分析の結果、LLMによって自動化される可能性が最も高いタスクは、定型的で反復的である傾向があり、一方、拡張される可能性が最も高いタスクは、抽象的な推論と問題解決能力を必要とすることが明らかになった。エクスポージャーの可能性が低い仕事は、高度な個人的交流や共同作業を必要とする。
– The jobs ranking highest for potential automation are Credit Authorizers, Checkers and Clerks (81% of work time could be automated), Management Analysts (70%), Telemarketers (68%), Statistical Assistants (61%), and Tellers (60%). ・自動化の可能性が最も高い職種は、クレジット・オーソライザー、チェッカー、クラーク(作業時間の81%が自動化可能)、マネジメント・アナリスト(70%)、テレマーケター(68%)、統計アシスタント(61%)、テラー(60%)である。
– Jobs with the highest potential for task augmentation emphasize mathematical and scientific analysis, such as Insurance Underwriters (100% of work time potentially augmented), Bioengineers and Biomedical Engineers (84%), Mathematicians (80%), and Editors (72%). ・タスク増強の可能性が最も高い職種は、保険引受人(作業時間の100%が増強される可能性あり)、バイオエンジニアとバイオメディカルエンジニア(84%)、数学者(80%)、編集者(72%)など、数学的・科学的分析を重視する職種である。
– Jobs with lower potential for automation or augmentation are jobs that are expected to remain largely unchanged, such as Educational, Guidance, and Career Counsellors and Advisers (84% of time spent on low exposure tasks), Clergy (84%), Paralegals and Legal Assistants (83%), and Home Health Aides (75%). ・自動化や増強の可能性が低い職種は、教育・指導・キャリアカウンセラーやアドバイザー(エクスポージャーが低い業務に費やされる時間の84%)、聖職者(84%)、パラリーガルやリーガルアシスタント(83%)、ホームヘルスの補助員(75%)など、ほとんど変わらないと予想される職種である。
– In addition to reshaping existing jobs, the adoption of LLMs is likely to create new roles within the categories of AI Developers, Interface and Interaction Designers, AI Content Creators, Data Curators, and AI Ethics and Governance Specialists. ・LLMの採用は,既存の職種の再形成に加え,AI開発者,インターフェイス・インタラクション・デザイナー,AIコンテンツ・クリエーター,データ・キュレーター,AI倫理・ガバナンス・スペシャリストといったカテゴリーに新たな役割を生み出す可能性がある。
– An industry analysis is done by aggregating potential exposure levels of jobs to the industry level, noting that jobs may exist in more than one industry. Results reveal that the industries with the highest estimates of total potential exposure (automation plus augmentation measures) are both segments of financial services: financial services and capital markets and insurance and pension management. This is followed by information technology and digital communications, and then media, entertainment and sports. Additional lists of jobs ranked by highest exposure potential for each major industry category are compiled in the appendix. ・産業分析は、潜在的なエクスポージャーのレベルを産業レベルに集約することによって行われる。その結果、潜在的エクスポージャーの合計(自動化+補強措置)が最も高い業種は、金融サービスの両セグメント、すなわち金融サービス・資本市場と保険・年金管理であることが明らかになった。次いで、IT・デジタルコミュニケーション、メディア・エンターテインメント・スポーツの順となった。各主要産業カテゴリーについて、エクスポージャーの可能性が最も高い職種をランク付けしたリストは、附属書にまとめた。
– Similarly, a function group analysis reveals that the two thematic areas with the greatest total potential exposure to LLMs are information technology, with 73% of working hours exposed, and finance, with 70% of working hours exposed. As with the industry groups, additional lists of jobs ranked by highest exposure potential for each function group are compiled in the Appendices. ・同様に、機能別グループ分析によると、LLMへのエクスポージャーの可能性が最も高い2つのテーマ分野は、情報技術で、労働時間の73%、金融で、労働時間の70%である。業種別グループと同様に、各機能グループごとにエクスポージャーの可能性が最も高い職種をランク付けしたリストを附属書にまとめた。
– These new findings connect directly to earlier work done by the Centre for the New Economy and Society in the Future of Jobs Report 2023. Many of the jobs found to have high potential for automation by LLMs were also expected by business leaders to undergo employment decline within the next five years, such as bank tellers and related clerks, data entry clerks, and administrative and executive secretaries. Meanwhile, jobs with high potential for augmentation are expected to grow, such as AI and Machine Learning Specialists, Data ・これらの新たな調査結果は,新経済社会研究センターが以前に発表した「雇用の未来レポート2023」に直接つながるものである。LLMによって自動化の可能性が高いとされた職種の多くは,銀行窓口係や関連事務員,データ入力事務員,事務・役員秘書など,ビジネスリーダーによって今後5年以内に雇用が減少すると予想された職種でもある。一方,AIや機械学習のスペシャリスト,データアナリストやサイエンティスト,データベースやエグゼクティブセクレタリーなど,人員増強の可能性が高い職種は成長すると予想されている。
Analysts and Scientists, and Database and Network Professionals. Together, these two publications identify and reaffirm salient themes in the connection between technological change and labour market transformation. アナリスト・科学者、データベース・ネットワーク・プロフェッショナルなどである。これら2つの出版物を合わせると、技術革新と労働市場の変革の関連性において顕著なテーマを特定し、再確認することができる。
The findings of this report shed light on how implementing LLMs could alter the landscape of jobs, providing valuable insights for policy-makers, educators and business leaders. Rather than leading to job displacement, LLMs may usher in a period of task-based transformation of occupations, requiring proactive strategies to prepare the workforce for these jobs of tomorrow. 本レポートの調査結果は、LLMの導入がどのように雇用の風景を変える可能性があるかに光を当て、政策立案者、教育者、ビジネスリーダーに貴重な洞察を提供している。LLMは、雇用の置き換えにつながるのではなく、タスクベースの職業変革の時代の到来を告げるかもしれない。

 

 

| | Comments (0)

米国 行政管理局 (OMB) M-23-22 デジタルファーストの公共体験の提供(日本政府の職員も是非読んでください...)(2023.09.22)

こんにちは、丸山満彦です。

行政管理局 (OMB) が覚書 M-23-22 デジタルファーストの公共体験の提供 を公表していますね。。。これが非常に良いです。日本政府の職員も是非読んだ方がよいです。。。特にデジタル庁の職員なんかは参考になると思うなぁ。。。あくまでも参考書としてですけど。。。

 

● U.S. White House - OMB

・2023.09.22 [PDF] M-23-22 Delivering a Digital-First Public Experience 

20230927-135713

・[DOCX] 仮訳

 

目次的なもの...

I. INTRODUCTION I. はじめに
II. SCOPE AND APPLICABILITY II.範囲と適用性
A. Definitions A.定義
III. DELIVERING A DIGITAL-FIRST PUBLIC EXPERIENCE III.デジタル・ファーストの公共体験を提供する
A. Requirements for Websites and Digital Services A.ウェブサイトとデジタルサービスの要件
1. Accessible to People of Diverse Abilities 1.多様な能力を持つ人々が利用しやすい
2. Consistent Visual Design and Agency Brand Identity 2.一貫したビジュアル・デザインと政府機関・ブランド・アイデンティティ
3. Content That Is Authoritative and Easy to Understand 3.権威があり、理解しやすいコンテンツ
a. One Answer a.ひとつの回答
b. Plain Language b.平易な言語
c. Translation and Localization c.翻訳とローカリゼーション
d. Content Governance d.コンテンツ・ガバナンス
e. Public Awareness Campaigns e.啓発キャンペーン
4. Information and Services That Are Discoverable and Optimized for Search 4.発見可能で検索に最適化された情報とサービス
5. Secure by Design, Secure by Default 5.セキュア・バイ・デザイン、セキュア・バイ・デフォルト
6. User-Centered and Data-Driven Design 6.ユーザー中心設計とデータ駆動設計
7. Customized and Dynamic User Experiences 7.カスタマイズされたダイナミックなユーザー体験
8. Mobile-First Design That Scales Across Varying Device Sizes 8.多様なデバイスサイズに対応するモバイルファースト設計
9. Other Digital Experience Requirements 9.その他のデジタル経験要件
a. Privacy a.プライバシー
b. Software Development Principles b.ソフトウェア開発原則
c. Required Links c.必須リンク
B. Digitization of Forms and Services B.フォームとサービスのデジタル化
1. Forms 1.フォーム
2. Services 2.サービス
3. Signatures 3.署名
C. Customer Experience and Digital Service Delivery C.カスタマー・体験とデジタル・サービス・デリバリー
D. Standardization D.標準化
IV. ENSURING AGENCIES DELIVER INTEGRATED DIGITAL EXPERIENCES IV.政府機関が統合されたデジタル体験を提供できるようにする
A. Immediate Agency Actions A.政府機関の緊急措置
B. Immediate Government-Wide Actions B.政府全体の緊急措置
C. Ongoing Agency Assessment and Reporting Requirements C.継続的な政府機関の評価と報告要件
D. Policy Assistance D.政策支援

 

 

| | Comments (0)

米国 国家情報局 ナカソネ将官、サイバーセキュリティとシギントの将来について洞察を語る

こんにちは、丸山満彦です。

米サイバー司令部(USCYBERCOM)司令官、NSA長官、中央警備局(CSS)長官を務めるポール・M・ナカソネ将官が、今月初めにワシントンで開催された会議で、サイバーセキュリティとシグナルインテリジェンスの将来がどのようなものになるかについての洞察を述べていますね。。。

興味深いです。。。

 

National Security Agency/Central Security Service

・2023.09.21 GEN Nakasone Offers Insight into Future of Cybersecurity and SIGINT

 

GEN Nakasone Offers Insight into Future of Cybersecurity and SIGINT ナカソネ将官、サイバーセキュリティとシギントの将来について洞察を述べる
GEN Paul M. Nakasone, Commander of U.S. Cyber Command (USCYBERCOM), Director of NSA, and Chief of the Central Security Service (CSS), offered insight into what the future of cybersecurity and signals intelligence may look like during a conference in Washington earlier this month. 米サイバー軍(USCYBERCOM)司令官、NSA長官、中央情報局(CSS)長官を務めるポール・M・ナカソネ将官は、今月初めにワシントンで開催された会議で、サイバーセキュリティとシグナルズ・インテリジェンスの将来について見解を述べた。
Looking to the future, GEN Nakasone focused on what he called "the three P's": the imminent period of intense competition with the People's Republic of China (PRC); the need for persistent engagement with public-private partners; and the critical role that the next generation of people will have in providing the United States with a competitive advantage against its adversaries. それは、中華人民共和国(PRC)との熾烈な競争が間近に迫っていること、官民のパートナーとの持続的な関与の必要性、そして、敵対国に対して米国に競争上の優位性を提供する上で、次世代の人々が果たす重要な役割である。
"As we think about the future five years hence, I'm very encouraged. I am very, very optimistic," he said during a fireside chat at the annual Billington Cybersecurity Summit. "I look to the future, and I think that our Nation, obviously the folks that work here in the public and the private sector, will all be the beneficiaries." ナカソネ将官は、年次ビリントン・サイバーセキュリティ・サミットでの会談で次のように述べた。「5年後の未来について考えるとき、私はとても勇気づけられる。私は非常に、非常に楽観的だ。私は将来を見据えている。そして、わが国はもちろん、ここで働く官民の人々すべてがその恩恵にあずかることになると思う」。
When GEN Nakasone took the reins in 2018, he said the leading priority for the Command and Agency was securing the 2018 midterm elections. Since then, the continued rise of the PRC and Russia as global threats and the protection of critical systems and infrastructure from cyber threats have grown to become leading priorities. 2018年にナカソネ将官が就任したとき、彼は司令部の最優先事項は2018年の中間選挙の安全確保だと述べた。それ以来、グローバルな脅威としての中国とロシアの継続的な台頭と、サイバー脅威からの重要なシステムとインフラの保護が、主要な優先事項に成長した。
"Everything that we've done since, we weren't talking about in 2018," said GEN Nakasone, who explained how cybersecurity has become synonymous with national security during his time atop USCYBERCOM and NSA/CSS. "Now, if I would have said that in 2018, that probably would have raised a lot of eyebrows. But what have we seen since 2018? We've seen supply chain, we've seen zero days, we've seen ransomware, we've seen a number of different actors that have changed and really provided an inflection point for all of us to say, 'Hey, this is a national security issue, and we've got to treat it differently.'" ナカソネ将官は、サイバーセキュリティがUSCYBERCOMとNSA/CSSのトップ時代にいかに国家安全保障の代名詞となったかを説明した。「今、もし私が2018年にそう言っていたら、おそらく多くの眉をひそめていただろう。しかし、2018年以降、我々は何を見てきただろうか? サプライチェーン、
ゼロデイ、ランサムウェア、 さまざまなアクターが変化し、私たち全員が言うべき変曲点を提供した。これは国家安全保障に関わる問題であり、これまでとは異なる方法で対処しなければならない。」
The Challenge of Artificial Intelligence 人工知能の挑戦
At the Billington Cybersecurity Summit, GEN Nakasone revealed the blueprint for AI and machine learning that the Command and Agency will lean on moving forward. ビリントン・サイバーセキュリティ・サミットで、ナカソネ将官は、司令部とCIAが今後頼りにしていくAIと機械学習の青写真を明らかにした。
"Much in the sense that the private sector has been doing artificial intelligence for quite a while, we've been doing it for a long time, as well. It's something that we're familiar with," GEN Nakasone said.  "We use artificial intelligence primarily with our signals intelligence mission. Now, how do we look at it for our cybersecurity mission? How do we look at it differently for our cybersecurity mission?" ナカソネ将官は次のように述べた。「民間企業がかなり前から人工知能を導入しているのと同じように、我々もかなり前から導入している。人工知能は我々にとって馴染み深いものだ。 人工知能は主にシグナル・インテリジェンスの任務で使っている。では、サイバーセキュリティの任務のために人工知能をどう使うか?サイバーセキュリティの任務のために、どのように違った見方をするのか。」
"As we look at the future, we do see tremendous changes. We see the speed, coupled with the security, and coupled with the safeguards that we will ensure are put in place," he added, pointing to how Congress has also tasked USCYBERCOM with developing a five-year plan for AI. ". This is something that we will continue to work at very, very hard going into the future." 「将来を見据えたとき、我々は大きな変化を目の当たりにしている。われわれは、スピードとセキュリティと、そしてわれわれが確実に実施するセーフガードとを見ている」と彼は付け加え、議会がUSCYBERCOMにAIに関する5カ年計画の策定を課していることを指摘した。「これは、我々が将来に向けて、非常に、非常に懸命に取り組み続けるものだ」。
The Importance of FISA Section 702 Reauthorization FISA702条再承認の重要性
Leaning on quantitative and qualitative metrics and bolstered by declassified examples, GEN Nakasone took advantage of his participation in the fireside chat to highlight one of the Intelligence Community's most critical foreign intelligence authorities: Section 702 of the Foreign Intelligence Surveillance Act (FISA). ナカソネ将官は、定量的・定性的な指標に依拠し、機密解除された事例をもとに、情報コミュニティにとって最も重要な対外諜報権限のひとつを強調するために、ファイヤーサイドチャットへの参加を利用した: 外国情報監視法(FISA)第702条である。
According to GEN Nakasone, FISA Section 702 is an authority that ensures national security and the protection of civil liberties and privacy. ナカソネ将官によれば、FISA702条は国家安全保障と市民の自由とプライバシーの保護を保証する権限である。
"Of the things that we look at today, 702 reauthorization is among the most important national security issues I think our Nation faces," GEN Nakasone said at the conference. 「今日われわれが検討していることの中で、702条の再承認は、わが国が直面している最も重要な国家安全保障問題の一つである」とナカソネ将官は会議で述べた。
Among the metrics the Director shared was that FISA Section 702 contributes to 100% of NSA's reporting on the President's intelligence requirements. He noted that in 2022, 59% of the President's Daily Brief articles contained 702 information reported by NSA, and 20% of all NSA's reporting includes 702 acquired information. ナカソネ将官は、FISA702条がNSAの大統領情報要件報告の100%に寄与していることを示した。2022年には、大統領日報記事の59%にNSAが報告した702条情報が含まれており、NSAの全報告の20%に702条取得情報が含まれていると述べた。
GEN Nakasone also highlighted how FISA Section 702 provided insights into the Chinese origins of precursor chemicals key to the production of fentanyl — a drug responsible for more than 100,000 deaths in the U.S. last year. The authority also enabled the U.S. to recover the majority of the ransom from the Colonial Pipeline attack in 2021, and played a key role in the 2022 takedown of al-Qa'ida leader Ayman al-Zawahiri, according to GEN Nakasone. ナカソネ将官はまた、FISA第702条が、昨年米国で10万人以上の死者を出したフェンタニルの製造に重要な前駆体化学物質の中国の起源に関する洞察を提供したことを強調した。ナカソネ将官によれば、この権限はまた、2021年に米国がコロニアル・パイプライン攻撃の身代金の大半を回収することを可能にし、2022年のアルカーイダ指導者アイマン・アル・ザワヒリの逮捕に重要な役割を果たしたという。
"It's an authority that has saved lives and assured the protection of our homeland," he said. 「人命を救い、国土の保護を保証する権限だ」と彼は語った。

 

関連リンク

Preventing and Eradicating Cyber Threats

Collecting & Analyzing our Adversaries’ Moves

Customers & Partners

Operating Under Legal Authorities

 ・The Foreign Intelligence Surveillance Act of 1978 (FISA)

 

 

1_20230927053401

 

外国情報監視法についての説明。。。

INTEL.GOV FOREIGN INTELLIGENCE SURVEILLANCE ACT

Section 702

 

 

 

| | Comments (0)

2023.09.26

内閣官房 NISC 関係法令Q&Aハンドブック Ver 2.0

こんにちは、丸山満彦です。

内閣官房サイバーセキュリティセンターから、サイバーセキュリティ関連法令Q&Aハンドブック Ver2.0が公表されました。。。Q87まであります。。。

ハンドブックといいながら、手にはのらないほどの分量(453ページ)です(^^;;

ガイドラインや海外法令等にも一部触れられています。。。

作業班を中心に大変な作業となりました。。。原稿自体は2022年3月ごろにほぼ完成していたような。。。

なので、その後の安全保障関係、生成AI関係については、まだ十分な記載ができていない。。。

できたら、紙で印刷する前提的なPDFファイルではなく、マークアップ言語で作成して、多様な比較等ができるようになるとよいのですけどね。。。それは、今後の課題ということで。。。

そして、都度、更新...

 

内閣官房 NISC

・2023.09.25 関係法令Q&Aハンドブック


Q&Aで取り上げている主なトピックスについて

  1. サイバーセキュリティ基本法関連
  2. 会社法関連(内部統制システム等)
  3. インシデント対応関連総論(当局等対応、関係者対応)
  4. 個人情報保護法関連
  5. 不正競争防止法関連
  6. 労働法関連(秘密保持・競業避止等)
  7. 情報通信ネットワーク関連(IoT関連等を含む)
  8. 契約関連(電子署名、システム開発、クラウド等)
  9. 資格等(情報処理安全確保支援士等)
  10. その他各論(リバースエンジニアリング、暗号、情報共有、脅威インテリジェンス、データ消去等)
  11. インシデント対応関連(事後的対応等)(ランサムウェア対応、デジタル・フォレンジック、サイバー保険等を含む)
  12. 民事訴訟手続
  13. 刑事法(サイバー犯罪等)
  14. 海外法令(GDPR等)


Ver2.0で追加されたQの一覧

  • サイバーセキュリティインシデント発生時の当局等対応
  • インシデントレスポンスと関係者への対応
  • 5G促進法(特定高度情報通信技術活用システムの開発供給及び導入の促進に関する法律)
  • ドローンとサイバーセキュリティ
  • 重要インフラ分野における規律
  • モビリティとサイバーセキュリティ
  • DX認定・DX銘柄とサイバーセキュリティ
  • サイバーセキュリティに関する規格等とNIST SP800シリーズ
  • 認証/本人確認に関する法令について
  • サイバーセキュリティ事業者への投資
  • 脅威インテリジェンスサービ
  • データの消去、データが記録された機器・電子媒体の廃棄
  • ランサムウェア対応
  • インシデント対応における費用負担及びサイバー保険
  • 越境リモートアクセス
  • 海外における主なサイバーセキュリティ法令
  • 国際捜査共助・協力に関する条約・協定

 

・[PDF

20230926-144024

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2020.03.03 NISC 「サイバーセキュリティ関係法令Q&Aハンドブック 」について

| | Comments (0)

NIST IR 8441 ハイブリッド衛星ネットワーク(HSN)のサイバーセキュリティフレームワーク・プロファイル

こんにちは、丸山満彦です。

 

NISTがIR 8441 ハイブリッド衛星ネットワーク(HSN)のサイバーセキュリティフレームワーク・プロファイルを公表していますね。。。

 

NIST

・2023.09.25 Just Published! Final NIST IR 8441, Cybersecurity Framework Profile for Hybrid Satellite Networks

Just Published! Final NIST IR 8441, Cybersecurity Framework Profile for Hybrid Satellite Networks 公表! NIST IR 8441最終版、ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワーク・プロファイル
The NIST National Cybersecurity Center of Excellence (NCCoE) has published Final NIST IR 8441, Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN) NIST国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、最終版NIST IR 8441「ハイブリッド衛星ネットワーク(HSN)のサイバーセキュリティフレームワーク・プロファイル」を公表した。
The HSN Cybersecurity Framework (CSF) Profile provides a practical tool for organizations engaged in the design, acquisition, and operation of satellite buses or payloads involving HSN. Its primary intent is to help those organizations better understand the attack surface, incorporate security, and achieve greater resilience for space systems that may be leveraged by critical infrastructure owners and operators, the Department of Defense, or other government missions, in a manner that is consistent with the organization’s risk tolerance. HSNサイバーセキュリティフレームワーク(CSF)プロファイルは、HSNを含む衛星バスまたはペイロードの設計、取得、運用に携わる組織に実用的なツールを提供する。その主な目的は、重要インフラの所有者や運用者、国防総省、あるいは他の政府ミッションによって活用される可能性のある宇宙システムに対して、攻撃対象領域をよりよく理解し、セキュリティを組み込み、組織のリスク許容度に合致した方法で、より高いレジリエンスを達成できるようにすることである。
The HSN Profile will help organizations: HSN プロファイルは組織を支援する:
Identify systems, assets, data, and risks from the CSF that pertain to HSN. ・HSN に関連するシステム、資産、データ、リスクを CSF から識別する。
Protect HSN services by utilizing cybersecurity principles and self-assessment. ・サイバーセキュリティの原則と自己評価を活用して HSN サービスを防御する。
Detect cybersecurity-related disturbances or corruption of HSN services and data. ・HSN サービスとデータのサイバーセキュリティ関連の妨害または破損を検知する。
Respond to HSN service or data anomalies in a timely, effective, and resilient manner. ・HSN サービスまたはデータの異常に、タイムリー、効果的、かつレジリエンスに対応する。
Recover the HSN to proper working order at the conclusion of a cybersecurity incident. ・サイバーセキュリティ・インシデントが発生した場合、HSN を正常な状態に復旧する。
As the space sector is transitioning away from traditional, vertically-integrated entities and towards an aggregation of independently-owned and operated segments, it is becoming more critical for all stakeholders to share a common understanding of the risks and how they can be mitigated. 宇宙部門が伝統的な垂直統合事業体から独立した所有・運営セグメントの集合体へと移行しつつある中、すべての利害関係者がリスクとその低減方法について共通の理解を持つことがより重要になってきている。
To learn more about the project and to join our Community of Interest, visit the project page.  このプロジェクトについての詳細と、関心コミュニティーへの参加については、プロジェクトのページを参照されたい。

 

 

・2023.09.25 NIST IR 8441 Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN)

NIST IR 8441 Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN) NIST IR 8441 ハイブリッド衛星ネットワーク(HSN)のサイバーセキュリティフレームワーク・プロファイル
Abstract 要旨
The space sector is transitioning towards Hybrid Satellite Networks (HSN) which is an aggregation of independently owned and operated terminals, antennas, satellites, payloads, or other components that comprise a satellite system. The elements of an HSN may have varying levels of assurance. 宇宙分野はハイブリッド衛星ネットワーク(HSN)へと移行しつつある。HSNは、衛星システムを構成する独立に所有・運用される端末、アンテナ、衛星、ペイロード、その他のコンポーネントの集合体である。HSNの各要素の保証レベルは様々である。
HSNs may interact with government systems and critical infrastructure (as defined by the Department of Homeland Security). A framework is required to assess the security posture of the individual components while still enabling the HSN to provide its function. This report applies the NIST Cybersecurity Framework to HSNs with an emphasis on the interfaces between the participants of the HSN. HSN は(国土安全保障省が定義する)政府システムや重要インフラと相互作用する可能性がある。HSNがその機能を提供できるようにしながら、個々のコンポーネントのセキュリティ態勢を評価するためのフレームワークが必要である。本報告書では、HSN の参加者間のインターフェイスに重点を置いて、NIST サイバーセキュリティフレームワークを HSN に適用する。
In collaboration with subject matter experts including satellite builders, consultants, acquisition authorities, operators (commercial and government), academia, and other interested parties, the National Institute of Standards and Technology (NIST) has developed the HSN Cybersecurity Framework CSF Profile (HSN Profile) to guide space stakeholders. The resulting profile provides a starting point for stakeholders who are assessing the cybersecurity posture of their HSN. 国立標準技術研究所は、衛星製作者、コンサルタント、取得当局、運用者(商業および政府)、学術界、その他関係者を含む主題の専門家と協力して、宇宙関係者の指針となる HSN サイバーセキュリティフレームワーク CSF プロファイル(HSN Profile)を開発した。このプロファイルは、HSN のサイバーセキュリティ態勢を評価する関係者に出発点を提供するものである。

 

・[PDF]

20230926-84709

 

・[DOCX] 仮訳

 


 

衛星関係...

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.01 NIST NIST IR 8270 商業衛星運用のためのサイバーセキュリティ入門

・2023.06.10 NIST NISTIR 8441(ドラフト)ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワークプロファイル (2023.06.06)

・2023.05.31 ENISA 海底ケーブルから低軌道衛星通信までのセキュリティの確保 (2023.05.24)

・2023.04.02 経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver1.1

・2023.01.08 NISTIR 8401 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用 (2022.12.30)

・2022.11.06 NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティフレームワーク・プロファイル:注釈付きアウトライン最終版

・2022.08.05 ドイツ BSI 宇宙インフラのためのサイバーセキュリティ

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.07.14 NIST NCCoE ハイブリッド衛星ネットワーク(HSN)サイバーセキュリティ(ドラフト)

・2022.07.06 NISTIR 8323 Rev. 1 (ドラフト) 基礎的な PNT プロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用 (2022.06.29)

・2022.04.21 NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用

・2022.02.28 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門(第2稿)

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.07.02 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門

・2021.05.23 GPSの二重化は現在のところ経済効率的ではないようですね。。。

・2021.04.16 U.S. Rand研究所 衛星インターネットサービスは独裁者にとって吉?凶?

・2021.04.12 宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.11.21 MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。

 

| | Comments (0)

英国 RUSI 中国と英国はいかにして世界のAI言説を形成しようとしているのか

こんにちは、丸山満彦です。

英国のRoyal United Services Institute; RUSI [wikipedia ] のブログで、11月に英国で開催されるAIサミットに中国を招待することを踏まえて?以下の記事を公開していますね。。。

英国は2021年9月に国家AI戦略を公表していますね。今年の3月末に意見募集をしたAI規制白書案について、どのようになるのかも気になりますね。。。

 

Royal United Services Institute; RUSI

・2023.09.25 How China and the UK are Seeking to Shape the Global AI Discourse

 

How China and the UK are Seeking to Shape the Global AI Discourse 中国と英国はいかにして世界のAI言説を形成しようとしているのか
While China has recently launched a ChatGPT alternative and become the first country to regulate generative AI, the UK is struggling to find a united voice ahead of its AI safety summit in November. Although both countries are determined to be leaders in AI technologies, the UK government has now confirmed that China will be invited to the summit to cooperate on the national security threats posed by AI. 中国が最近、ChatGPTの代替案を発表し、生成的AIを規制する最初の国になった一方で、英国は11月に開催されるAI安全サミットを前に、一致団結した声を見つけるのに苦労している。両国はAI技術のリーダーになることを決意しているが、英国政府は現在、AIがもたらす国家安全保障上の脅威について協力するため、中国をサミットに招待することを確認している。
High expectations about China’s technological prowess meant that technology experts and AI enthusiasts looked on with interest as Beijing granted regulatory approval for the public rollout of a ChatGPT alternative, the ERNIE 3.5 chatbot, in late August. 中国の技術力に対する期待は高く、8月下旬に北京がChatGPTに代わるチャットボット「ERNIE 3.5」の一般公開を規制当局から承認したことを、技術専門家やAI愛好家たちは興味深く見守った。
In March, the Chinese tech giant Baidu launched ERNIE’s highly anticipated predecessor, the 3.0 version, to much fanfare. While this early version revealed the shortcomings of a less sophisticated technology that was perhaps too immature to be released, the August launch showed improvements, despite significant differences with its US competitor: Chinese large language models (LLMs) are thought to be two to three years behind the state-of-the-art equivalent in the US. ChatGPT unavailability to Chinese consumers has created an appetite for homegrown alternatives. Far from being the only player, Baidu is one of many companies in China that have released LLMs in an attempt to jump on the ChatGPT bandwagon. 中国の巨大テック企業バイドゥは3月、ERNIEの待望の前身である3.0バージョンを発表し、大きな反響を呼んだ。この初期バージョンは、おそらくリリースするには未熟すぎるほど洗練されていない技術の欠点を明らかにしたが、8月の発表では、米国の競合製品との大きな違いはあるものの、改善が見られた: 中国の大規模言語モデル(LLM)は、米国の最先端の同等のものから2~3年遅れていると考えられている。中国の消費者がChatGPTを利用できないことで、国産の代替品への需要が高まっている。バイドゥは、ChatGPTの時流に乗ろうとしてLLMをリリースした多くの中国企業のひとつである。
Technology as an Enabler of China’s Geopolitical Ambitions 中国の地政学的野心を実現するテクノロジー
Having identified technology as a source of economic and military power, China under Xi Jinping has made no mystery of its intentions to scale up key strategic industries and become a world-class tech power. China’s 2017 AI development plan clearly states its intention to become ‘the world’s main artificial intelligence innovation centre’ by 2030. Beijing has nurtured world-leading companies in AI, like those working on computer vision and its applications, which are instrumental to its ever-expanding surveillance state. With generative AI, the flurry of LLM rollouts shows that China wants to be anything but a passive observer, seeking to seize the political and commercial benefits of this field as well. 習近平政権下の中国は、テクノロジーを経済力と軍事力の源泉と位置づけ、主要な戦略産業を拡大し、世界トップクラスのハイテク大国になるという意図を隠さない。中国の2017年AI発展計画には、2030年までに「世界の主要な人工知能イノベーションセンター」になるという意図が明確に記されている。北京は、拡大し続ける監視国家に不可欠なコンピューター・ビジョンとその応用に取り組む企業のように、AIの分野で世界をリードする企業を育ててきた。生成的AIでは、LLMの慌ただしい展開は、中国が受動的な傍観者ではなく、この分野の政治的・商業的利益をも掴もうとしていることを示している。
But this AI frenzy is not limited to technological innovation: it also involves crucial steps on governance. While multiple calls for regulations and control of proliferating AI technologies make headlines in the West, China has gained a head-start by becoming the first country in the world to regulate generative AI this summer. しかし、このAIの熱狂は技術革新にとどまらず、ガバナンスの面でも重要なステップを踏んでいる。欧米では、拡散するAI技術に対する規制や管理を求める声が何度も話題になっているが、中国はこの夏、世界で初めて生成的AIを規制する国となり、先手を打った。
Becoming an AI superpower remains an ambitious goal, especially considering the current state of the UK AI policy landscape AI大国となることは、特に英国のAI政策の現状を考えると、野心的な目標であることに変わりはない。
Given that the Chinese Communist Party’s (CCP) political security rests on its ability to control and manipulate the domestic information space, it is hardly surprising that China is pushing to regulate AI-generated content. Legislative requirements impose security assessments for algorithms with ‘public opinion or social mobilisation attributes’ and require AI-generated content to ‘adhere to core socialist values’ and ‘not incite the subversion of state power’. Such obligations are apparent in the censorship capabilities of Chinese-developed chatbots: in its 3.5 version, ERNIE eschews political questions that are deemed too sensitive – albeit leaving room for peculiar foreign policy takes. 中国共産党(CCP)の政治的安全保障が、国内の情報空間を管理・操作する能力にかかっていることを考えれば、中国がAI生成的コンテンツの規制を推進していることは驚くにはあたらない。立法上の要件として、「世論や社会動員の属性」を持つアルゴリズムには安全性評価を課し、生成的AIコンテンツには「社会主義の中核的価値観を遵守」し、「国家権力の転覆を扇動しない」ことを求めている。このような義務は、中国が開発したチャットボットの検閲機能にも表れている。3.5版では、ERNIEは敏感すぎるとみなされる政治的な質問を避けているが、独特の外交政策を取る余地は残されている。
Idiosyncratic provisions aside, China’s finalised AI regulations also mandate companies to take effective measures to prevent discrimination, to protect intellectual property rights and to guarantee the privacy of personal information, echoing concerns about structural racismcopyright infringements and the massive collection and storage of personal data that have been voiced in the West as well. 特異な規定はさておき、中国が最終決定したAI規制は、差別を防止し、知的財産権を保護し、個人情報のプライバシーを保証するための効果的な措置を講じることを企業に義務付けている。これは、構造的な人種差別、著作権侵害、個人データの大規模な収集と保存に対する懸念が欧米でも声高に叫ばれていることを反映したものだ。
China’s first-mover advantage in generative AI means that Chinese companies can fine-tune their LLMs to what the CCP considers China’s national priorities from the initial stages of technology development. These include both mitigating potential societal and political fallout, as well as signalling policy direction to develop AI applications that can serve the real economy, such as in the medical industry, the transport sector or the mining industry. 生成的AIにおける中国の先行者優位性は、中国企業が技術開発の初期段階から中国共産党が考える中国の国家的優先事項に合わせてLLMを微調整できることを意味する。これには、潜在的な社会的・政治的影響を低減させるだけでなく、医療産業、運輸部門、鉱業など、実体経済に役立つAIアプリケーションを開発するための政策の方向性を示すことも含まれる。
Much Ado About the AI Summit AIサミットの話題
Meanwhile, the UK is equally keen on playing a key role in the AI landscape. In its National AI Strategy, the UK government has set itself the aim of becoming a ‘global AI superpower’. The UK hosts several promising AI technology companies and research institutes, and seeks to further strengthen its AI capabilities with the help of the Frontier AI Taskforce. Becoming an AI superpower, however, remains an ambitious goal, especially considering the current state of the UK AI policy landscape. 一方、英国も同様に、AI分野で重要な役割を果たそうとしている。英国政府は国家AI戦略の中で、「世界的なAI大国」になることを目標に掲げている。英国は有望なAIテクノロジー企業や研究機構をいくつか抱えており、「フロンティアAIタスクフォース」の支援を受けてAI能力をさらに強化しようとしている。しかし、AI大国になることは、特に英国のAI政策の現状を考慮すると、野心的な目標であることに変わりはない。
Having the best intentions for future action is insufficient when it comes to technologies that develop as quickly – and that are of as much geopolitical and strategic importance – as AI AIのように急速に発展し、地政学的・戦略的に重要な技術に関しては、将来の行動に対して最善の意図を持つことは不十分である。
After several reshuffles of both competencies and staff, the newly founded Department of Science, Innovation and Technology – together with teams from Number 10 and the Foreign, Commonwealth and Development Office – is now putting together the world’s first AI summit on safety. With the summit scheduled for 1–2 November this year, those in charge of securing an impressive guest list and an agenda that can meet the high expectations set out are under enormous time pressure. It is no surprise that public confidence in the summit is low, especially as it has taken the government months to even announce a date and location. After weeks of speculation, China has been officially invited to the summit in order to address mutual concerns over AI’s risks to national security. However, the extent to which Beijing will be able to participate remains unclear. 何度かの権限とスタッフの入れ替えを経て、新たに設立された科学技術革新省は、ナンバー10と外務・英連邦・開発省のチームとともに、安全に関する世界初のAIサミットを開催しようとしている。サミットは今年11月1日〜2日に予定されており、豪華なゲストリストと、設定された高い期待に応えられるアジェンダを確保する担当者は、大きな時間的プレッシャーにさらされている。特に、政府が日程と場所を発表するのに数カ月もかかっているのだから、サミットに対する国民の信頼が低いのは当然だ。数週間にわたる憶測の末、中国が正式にサミットに招待されたのは、国家安全保障に対するAIのリスクに対する相互の懸念に対処するためである。しかし、北京がどこまで参加できるかはまだ不透明だ。
Described by the prime minister as ‘the first major global summit on AI safety’, the summit was announced in June. At the time, the EU and the US announced an alliance on an AI code of conduct as part of the EU-US Trade and Technology Council. The UK is not a member of this council, and although it is part of G7 conversations on AI regulation, the announcement of an AI summit came at a strategically convenient but surprising time. Arguably, the additional UK AI summit is a duplication of other international efforts, but it is one way for the UK government to counter any narratives implying that the UK might be a bystander on AI standard-setting discussions. 首相が「AIの安全性に関する初の主要なグローバル・サミット」と表現したこのサミットは、6月に発表された。当時、EUと米国はEU・米国貿易技術協議会の一環として、AI行動規範に関する提携を発表した。英国はこの協議会のメンバーではなく、AI規制に関するG7の会話の一部ではあるが、AIサミットの発表は戦略的に都合の良い、しかし意外なタイミングで行われた。英国のAIサミットの追加は、他の国際的な取り組みと重複していることは否めないが、英国政府にとっては、英国がAIの標準設定に関する議論の傍観者である可能性を示唆するナラティブに対抗するひとつの方法である。
The problem is that having the best intentions for future action is insufficient when it comes to technologies that develop as quickly – and that are of as much geopolitical and strategic importance – as AI. The AI White Paper that the UK published a few months ago, for example, seems to have almost been forgotten by many. Meanwhile, the Science, Innovation and Technology Committee’s findings on the governance of AI, published at the end of August, suggest that the White Paper’s five principles of governance constitute a ‘proposed approach (that) is already risking falling behind the pace of development of AI’ – a risk that is only increasing given the previously mentioned EU and US efforts to set international standards. 問題は、AIのように急速に発展し、地政学的・戦略的に重要な技術に関しては、将来の行動に対して最善の意図を持つだけでは不十分だということだ。例えば、英国が数ヶ月前に発表したAI白書は、多くの人々から忘れ去られようとしているようだ。一方、8月末に発表された科学・イノベーション・技術委員会によるAIのガバナンスに関する調査結果は、白書のガバナンス5原則が「(すでに)AIの開発ペースに遅れをとるリスクのあるアプローチ案」であることを示唆している。

Whether in the form of a white paper, a summit or other projects, thought leadership contained in forgotten documents or photos of ministers shaking hands with big tech CEOs will mean little if they are not followed up with coherent and persistent action. The challenges the UK government faces when it comes to positioning itself as a ‘global AI superpower’ are not just posed by Chinese ambitions for tech supremacy. The UK government also needs to unite different departments on its AI policy and priorities, and must continue to forge alliances with the private sector and international partners. As AI industries across countries are deeply entangled, finding common ground with jurisdictions that do not share the UK’s values is also crucial. Only then can the UK – together with its allies – be actually world-leading on AI technologies. 白書やサミット、その他のプロジェクトの形であれ、忘れ去られた文書に含まれるソート・リーダーシップや、大臣が大手テック企業のCEOと握手している写真であれ、首尾一貫した粘り強い行動でフォローされなければ、ほとんど意味をなさないだろう。英国政府が「世界のAI大国」として自国を位置づける際に直面する課題は、ハイテク覇権を狙う中国の野心だけではない。英国政府もまた、AI政策と優先事項に関して異なる省庁を団結させる必要があり、民間セクターや国際的パートナーとの提携を築き続けなければならない。各国のAI産業は深く絡み合っているため、英国の価値観を共有しない国との共通点を見出すことも極めて重要である。そうして初めて、英国は同盟国とともにAI技術で世界をリードすることができるのである。

 

1_20230926061101


 

 

まるちゃんの情報セキュリティ気まぐれ日記

英国関連

・2023.08.25 英国 AIサミットは11月1日2日にブレッチリー・パークで開催

・2023.08.20 英国 人工知能にゲームをさせることからの学び

・2023.08.15 英国 年内のAI安全サミットに向けて陣頭指揮をとる2名を任命し、Aiヘルスケア研究に1300万£(約24億円)を拠出... (2023.08.10)

・2023.07.20 英国 Ada Lovelace 協会 英国のAI規制、AIリスクなど4つの報告書

・2023.07.18 英国 科学技術省データ倫理・イノベーションセンターブログ AI保証の専門家が他の領域から学ぶべき6つの教訓 (2023.07.12)

・2023.07.09 英国 著作権と人工知能 (AI) に関する実施規範をつくるようですね。。。(2023.06.29)

・2023.07.07 英国 Ada Lovelace 協会 AIサプライチェーンにおける説明責任の分担 (2023.06.29)

・2023.06.19 英国 科学技術省データ倫理・イノベーションセンター 「AIシステムをより公平にするために、人口統計データへの責任あるアクセスを可能にする」

・2023.06.18 英国 科学技術省データ倫理・イノベーションセンター AI保証事例集 (2023.06.07)

・2023.04.29 英国 AIに関する英国政府の発表をいくつか。。。

・2023.04.05 英国 ICO ブログ 生成的人工知能:開発者とユーザーが問うべき8つの質問...

・2023.04.01 英国 意見募集 AI規制白書

・2023.03.20 英国 イノベーションを促進する技術規制の見直し:デジタルテクノロジー

・2023.03.10 英国 ICO Blog 国際女性デーに向けて...AIによる差別への対処が重要な理由

・2022.12.10 英国 データ倫理・イノベーションセンター「業界温度チェック:AI保証の障壁と実現要因」

・2022.11.06 英国 データ倫理・イノベーションセンター データおよびAIに対する国民の意識:トラッカー調査(第2回)

・2022.09.25 英国 Ada Lovelace 協会 欧州におけるAI責任:EUのAI責任指令の先取り

・2022.06.26 英国 国防AI戦略 (2022.06.15)

・2022.06.18 英国 Ada Lovelace 協会: EUのAI法について説明 (2022.04.11)

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.04.20 AIガバナンスの標準? ISO/IEC 38507:2022 Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations

・2021.12.19 英国 AIバロメータ21 公表

・2021.12.09 英国 AI保証に向けたロードマップを公表(AI認証制度?)

・2021.09.24 英国 国家AI戦略

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

 

 

中国関連

・2023.09.11 中国 生成的AIについての専門家の解釈 (2023.08.29)

・2023.07.14 中国 国家サイバースペース管理局他 生成的AIサービス管理暫定弁法 施行は2023.08.15

・2023.04.12 中国 意見募集 生成的人工知能サービス管理弁法

・2022.12.23 中国 インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国 インターネット情報サービス深層合成管理規定 (深層合成で作ったものにはマークを...)(2022.11.25)

・2022.08.15 中国 国家サイバースペース管理局 インターネット情報サービスのアルゴリズム申請に関する情報公開の公告

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

 

 

| | Comments (0)

第78回 国連総会 トップ等の発言...

こんいちは、丸山満彦です。

 

第78回の国連総会が開催されていますが、国連総会での各国首脳等の発言。あわせていろいろと会議が開催されていますね。。。

 

UNITED NATIONS - UN News

Filter by UNGA78

 

主なものを...

2023.09.22 英国 World must pass ‘AI stress test’, UK Deputy PM says, announcing summit 世界は 「AIストレステスト 」に合格しなければならない:英国オリバー・ダウデン副首相
2023.09.22 イスラエル Israel on the cusp of historic peace with Saudi Arabia, Netanyahu announces at UN イスラエルはサウジアラビアとの歴史的和平の危機に瀕している:ネタニヤフ首相
2023.09.21 中国 Strong multilateralism key to international cooperation, says China’s Vice-President 強力な多国間主義が国際協力の鍵:ハン副主席
2023.09.20 ウクライナ Zelenskyy says Russia's Security Council veto undermines world body ロシアの安保理拒否権は世界団体を弱体化させる:ゼレンスキー大統領
2023.09.19 日本 Reforms vital to build confidence, Japanese leader tells UN Assembly 信頼醸成には改革が不可欠:岸田首相
2023.09.19 ドイツ Courage needed to mend today’s global rifts, German leader tells UN Assembly 今日の世界的亀裂を修復するには勇気が必要:シュルツ首相
2023.09.19 イラン Iranian President denounces West’s meddling in affairs of Middle East countries 中東諸国への欧米の干渉を糾弾する:イラン大統領
2023.09.19 ウクライナ Russia’s weaponization of food and energy impacts all countries, Zelenskyy tells UN Assembly ロシアの食糧・エネルギー兵器化はすべての国に影響:ゼレンスキー大統領
2023.09.19 米国 Biden says ‘when we stand together’, we can tackle any challenge われわれが団結すれば」どんな困難にも対処できる:バイデン大統領

 

1_20230926054901

 


ドイツ首相 自由なき平和は抑圧を意味する

● Bundesregierung

・2023.09.21 „Frieden ohne Freiheit heißt Unterdrückung“

 

英国副首相 

U.K. Gov

・2023.09.23 Deputy Prime Minister Oliver Dowden’s speech to the UN General Assembly: 22 September 2023

 

米国大統領

U.S. White housse

・2023.09.19 Remarks by President Biden Before the 78th Session of the United Nations General Assembly | New York, NY

 

日本首相

● 官邸

・2023.09.20 効果的な多国間主義とウクライナ情勢に関する安保理首脳級会合 岸田総理スピーチ

・2023.09.19 第78回国連総会における岸田内閣総理大臣一般討論演説

 

 

国連広報センター

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.22 ロシア 中国 モンゴル による安全保障協議 at モスクワ

| | Comments (0)

米国 商工会議所 教育・提言キャンペーン「責任あるAIビジネス・リーダーシップ・イニシアティブ」

こんにちは、丸山満彦です。

米高商工会議所が2023.03.09に人工知能についての報告書を公表しておりますが、今回は、企業主導の教育・提言キャンペーンである「 「責任あるAIビジネス・リーダーシップ・イニシアティブ」の開始についての発表をしていますね。。。

この教育・提言キャンペーンの目的...

  1. 一般市民と政策立案者を教育する
  2. イノベーションと信頼できるAIを実現するための連邦政策の提唱
  3. グローバルなAIフレームワーク構築における米国のリーダーシップを促進する
  4. 州や地域の規制の矛盾を防ぐ

だそうです。。。

官民とも力強いですね。。。

 

U.S. Chamber of Commerce

・2023.09.20 U.S. Chamber Launches ‘Responsible AI Business Leadership Initiative,’ An Education and Advocacy Effort to Promote the Responsible Development and Use of Artificial Intelligence

U.S. Chamber Launches ‘Responsible AI Business Leadership Initiative,’ An Education and Advocacy Effort to Promote the Responsible Development and Use of Artificial Intelligence 米国商工会議所、人工知能の責任ある開発と利用を促進するための教育・提言活動「責任あるAIビジネス・リーダーシップ・イニシアティブ」を開始
U.S. Chamber announcement on the launch of the 'Responsible AI Business Leadership Initiative.' 米国商工会議所は、「責任あるAIビジネス・リーダーシップ・イニシアティブ」の立ち上げについて発表した。
WASHINGTON, D.C. — Today, the U.S. Chamber of Commerce announced the launch of the ‘Responsible AI Business Leadership Initiative,’ a business-led education and advocacy campaign on the importance of developing and deploying responsible artificial intelligence (AI). ワシントンD.C.-本日、米国商工会議所は、責任ある人工知能(AI)の開発と導入の重要性に関する企業主導の教育・提言キャンペーンである「責任あるAIビジネス・リーダーシップ・イニシアティブ」の立ち上げを発表した。
The announcement, which was made during the U.S. Chamber’s Global AI Forum at the National Press Club in Washington D.C., marks the formal start of this campaign to educate policymakers and key decisionmakers on the benefits and uses of AI, and advocate for a responsible federal policy framework.  この発表は、ワシントンD.C.のナショナル・プレス・クラブで開催された米国商工会議所のグローバルAIフォーラムの中で行われたもので、政策立案者や主要な意思決定者にAIの利点と用途について教育し、責任ある連邦政策の枠組みを提唱するこのキャンペーンの正式な開始を意味する。
“The age of artificial intelligence has ushered in an unparalleled opportunity to leverage America’s technological prowess as a tremendous force of good here at home and around the world,” said Tom Quaadman, executive vice president of the U.S. Chamber’s Technology Engagement Center (C_TEC). “As the leading voice for American businesses of all sizes across the economy, the U.S. Chamber is uniquely positioned to convene the brain-trust necessary to forge a sensible path forward on responsible AI leadership at scale. 「米国商工会議所テクノロジー・エンゲージメント・センター(C_TEC)のエグゼクティブ・バイスプレジデントであるトム・クワッドマンは、「人工知能の時代は、米国の技術力を国内および世界における多大な善の力として活用するまたとない機会を到来させた。「米国商工会議所は、経済全般にわたるあらゆる規模の米国企業の代表的な代弁者として、大規模で責任あるAIのリーダーシップについて賢明な道筋を築くために必要な頭脳集団を招集するユニークな立場にある。
“It is imperative for the United States, in partnership with like-minded nations, lead the effort to create a global regulatory framework for trustworthy and responsible AI. It is also vital for the U.S. federal government to work with the private sector to develop national policies that promote innovation and mitigate risk. We are optimistic the ‘Responsible AI Business Leadership Initiative’ will be a force multiplier for the development of responsible AI that harnesses the immense potential of this technology,” Quaadman concluded. 「米国は、志を同じくする国々と連携して、信頼できる責任あるAIのためのグローバルな規制の枠組みを構築する努力をリードすることが不可欠である。また、米国連邦政府が民間セクターと協力し、イノベーションを促進しリスクを軽減する国家政策を策定することも不可欠である。我々は、『責任あるAIビジネス・リーダーシップ・イニシアティブ』が、この技術の計り知れない可能性を活用する責任あるAIの発展のための戦力となることを確信している」とクワッドマンは締めくくった。
The Initiative will focus on four key activities:  このイニシアティブは、4つの主要な活動に焦点を当てる: 
1. Educating the Public and Policymakers  1. 一般市民と政策立案者を教育する
2. Advocating for Federal Policies to Achieve Innovation and Trustworthy AI  2. イノベーションと信頼できるAIを実現するための連邦政策の提唱 
3. Advancing U.S. Leadership in Creating a Global AI Framework  3. グローバルなAIフレームワーク構築における米国のリーダーシップを促進する
4. Preventing a Conflicting Patchwork of State and Local Regulations 4. 州や地域の規制の矛盾を防ぐ
The Initiative will build on the work of the U.S. Chamber’s Commission on AI Competitiveness, Inclusion, and Innovation to determine the real-world impacts of AI on the economy and society, and recommendations for a policy framework that optimizes the benefits of the technology and mitigates its potential risks.  このイニシアティブは、米国商工会議所の「AIの競争力、インクルージョン、イノベーションに関する委員会」の活動を基に、AIが経済や社会に与える現実世界への影響、およびこの技術の利点を最適化し、潜在的リスクを軽減する政策フレームワークの提言を決定する。
This Initiative will also leverage the insights derived from the U.S. Chamber’s Artificial Intelligence Working Group, which was started in 2019 and currently convenes over 160 companies across 32 industries. このイニシアティブは、2019年に発足し、現在32業種160社以上が参加している米国商工会議所の人工知能ワーキンググループから得られた知見も活用する。

 

U.S. Chamber of Commerce Foundation - YouTube

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.14 米国商工会議所 人工知能報告書


| | Comments (0)

米国 CISA サプライチェーンリスクマネジメント(SCRM)のためのハードウェア部品表フレームワーク(HBOM)

こんにちは、丸山満彦です。

CISAがサプライチェーンマネジメントの一環として、「ハードウェア」部品表のフレームワーク(HBOM) を公表していますね。。。SBOMに続いて、HMOM...

xBOMですね。。。

 

CISA 

・22023.09.25 CISA Releases Hardware Bill of Materials Framework (HBOM) for Supply Chain Risk Management (SCRM)  

 

CISA Releases Hardware Bill of Materials Framework (HBOM) for Supply Chain Risk Management (SCRM)  CISA、サプライチェーンリスクマネジメント(SCRM)のためのハードウェア部品表フレームワーク(HBOM)をリリース 
WASHINGTON - Today, the Cybersecurity and Infrastructure Security Agency (CISA) released the new Hardware Bill of Materials Framework (HBOM) for Supply Chain Risk Management product from the Information and Communications Technology (ICT) Supply Chain Risk Management (SCRM) Task Force.   ワシントン - 本日、サイバーセキュリティ・インフラセキュリティ庁(CISA)は、情報通信技術(ICT)サプライチェーンリスクマネジメント(SCRM)タスクフォースから、サプライチェーンリスクマネジメントのための新しいハードウェア部品表フレームワーク(HBOM)を発表した。 
“The HBOM Framework offers a consistent and repeatable way for vendors and purchasers to communicate about hardware components, enabling effective risk assessment and mitigation in the supply chain. With standardized naming, comprehensive information, and clear guidance, organizations can safeguard against economic and security risks, enhancing overall resilience,” said CISA National Risk Management Center Assistant Director and ICT SCRM Task Force Co-Chair Mona Harrington. “By enhancing transparency and traceability through HBOM, stakeholders can identify and address potential risks within the supply chain, ensuring that the digital landscape remains robust and secure against emerging threats and challenges.”  「HBOMフレームワークは、ベンダーと購入者がハードウェア部品について一貫性のある反復可能な方法を提供し、サプライチェーンにおける効果的なリスクアセスメントと低減を可能にする。標準化された名称、包括的な情報、明確なガイダンスにより、組織は経済的リスクとセキュリティ・リスクから保護することができ、全体的なレジリエンスを高めることができる」と、CISAナショナル・リスク・マネジメント・センター・アシスタント・ディレクターでICT SCRMタスクフォース共同議長のモナ・ハリントンは述べた。「HBOMを通じて透明性とトレーサビリティを強化することで、関係者はサプライチェーン内の潜在的なリスクを特定し、対処することができる。
The HBOM product provides a framework that includes a consistent naming methodology for attributes of components, a format for identifying and providing information about the different types of components, and guidance of what HBOM information is appropriate depending on the purpose for which the HBOM will be used.  HBOM製品は、コンポーネントの属性に対する一貫した命名方法、異なるタイプのコンポーネントを識別し情報を提供するためのフォーマット、HBOMが使用される目的に応じてどのようなHBOM情報が適切であるかについてのガイダンスを含むフレームワークを提供する。
The framework has several key components:   フレームワークには、いくつかの重要な構成要素がある:  
Use Case Categories (Appendix A): Provides a range of potential use cases that purchasers may have for HBOMs, based on the nature of the risk the purchaser seeks to evaluate.  ユースケースカテゴリー(附属書A): ユースケース・カテゴリー(Appendix A):購入者が評価しようとするリスクの性質に基づき、購入者がHBOMを使用する可能性のあるユースケースの範囲を提供する。
Format of HBOMs (Appendix B): Framework sets forth a format that can be used to ensure consistency across HBOMs and to increase the ease with which HBOMs can be produced and used.  HBOMのフォーマット(附属書B): HBOMs の一貫性を確保し、HBOMs の作成と利用を容易にするために使用できる形式を定める。
Data Field Taxonomy (Appendix C): Provides a taxonomy of component/input attributes that, depending on the use for which the purchaser intends to use an HBOM, may be appropriate to include in an HBOM.  データフィールド分類法(附属書C): 購入者がHBOMを使用しようとする用途に応じて、HBOMに含めることが適切と思われる構成要素/入力属性の分類法を提供する。
“This methodology gives organizations a useful tool to evaluate supply chain risks with a consistent and predictable structure for a variety of use cases” said John Miller, Senior Vice President of Policy and General Counsel at Information Technology Industry Council (ITI) and ICT SCRM Task Force Co-Chair. The product was developed by the ICT SCRM Task Force’s HBOM Working Group, which includes subject matter experts from a diverse set of private and public sector organizations.   「情報技術産業審議会(ITI)の政策及び法律顧問担当上級副会長であり、ICT SCRM タスクフォース共同議長を務めるジョン・ミラー氏は、「この方法論は、様々なユースケースに対応し、一貫した予測可能な構造でサプライチェーンリスクを評価するための有用なツールを組織に提供する。この製品は、ICT SCRMタスクフォースのHBOM作業部会によって開発されたもので、この作業部会には、多様な民間および公的機関の専門家が参加している。 
"This resource plays a vital role in adopting proactive approaches to mitigate risks effectively," said Robert Mayer, Senior Vice President of Cybersecurity and Innovation at US Telecom and ICT SCRM Task Force Co-Chair.   USテレコムのサイバーセキュリティ・イノベーション担当上級副社長であり、ICT SCRMタスクフォース共同議長を務めるロバート・メイヤー氏は、「このリソースは、リスクを効果的に軽減するための積極的なアプローチを採用する上で重要な役割を果たす」と述べた。 

 

 

・2023.09.25 Hardware Bill of Materials (HBOM) Framework for Supply Chain Risk Management

Hardware Bill of Materials (HBOM) Framework for Supply Chain Risk Management サプライチェーンリスクマネジメントのための部品表(HBOM)フレームワーク
The Hardware Bill of Materials (HBOM) Framework for Supply Chain Risk Management product provides a framework that includes a consistent naming methodology for attributes of components, a format for identifying and providing information about the different types of components, and guidance of what HBOM information is appropriate depending on the purpose for which the HBOM will be used. サプライチェーンリスクマネジメントのためのハードウェア部品表(HBOM)フレームワーク」は、部品の属性に対する一貫した命名方法、異なる種類の部品に関する識別と情報提供のためのフォーマット、HBOMが使用される目的に応じてどのようなHBOM情報が適切であるかのガイダンスを含むフレームワークを提供する。

 

・[PDF] A Hardware Bill of Materials Framework for Supply Chain Risk Management

20230926-41613

 

・[PDF] A Hardware Bill of Materials Framework for Supply Chain Risk Management Fact Sheet

20230926-41622

 

A Hardware Bill of Materials Framework for Supply Chain Risk Management サプライチェーンリスクマネジメントのためのハードウェア部品表フレームワーク
OVERVIEW  概要 
The Cybersecurity and Infrastructure Security Agency’s (CISA) Information and Communications Technology (ICT) Supply Chain Risk Management (SCRM) Task Force1 has identified and provided recommendations to address the economic and security risks associated with equipment components that may be untrusted, compromised, or subject to availability risks by creating the document entitled, A Hardware Bill of Materials (HBOM) Framework for Supply Chain Risk Management. The product is aimed at creating a consistent, repeatable way for vendors to communicate to purchasers the hardware components in products that they have or may purchase, enabling purchasers to evaluate and mitigate risks in their supply chain.  サイバーセキュリティ・インフラフラセキュリティ庁(CISA)の情報通信技術(ICT)サプライチェーンリスクマネジメント(SCRM)タスクフォース1 は、「サプライチェーンリスクマネジメントのためのハードウェア部品表(HBOM)フレームワーク」と題する文書を作成することにより、信頼されていない、危険にさらされている、または可用性リスクの対象となる可能性のある機器部品に関連する経済的リスクおよびセキュリティリスクに対処するための識別と勧告を行った。この製品は、ベンダーが購入者に対し、購入済みまたは購入する可能性のある製品に含まれるハードウェア・コンポーネントをコミュニケーションするための一貫した反復可能な方法を作成することを目的としており、これにより購入者はサプライチェーンにおけるリスクを評価し、軽減することができる。
BENEFITS OF HBOMs  HBOMのメリット 
When purchasing hardware, it is crucial for a company to consider the utilization of an HBOM in order to make informed decisions regarding safe and secure hardware. A Hardware Bill of Materials (HBOM) Framework for Supply Chain Risk Management provides several benefits to the consumer by creating a consistent, repeatable way for vendors to communicate with purchasers about the hardware components in products that they have or will acquire in the future. This supports purchasers in the evaluation and mitigation of risks in their supply chain. Several additional benefits the framework addresses include:  ハードウェアを購入する際、企業が安全でセキュアなハードウェアについて十分な情報を得た上で意思決定を行うためには、HBOMの活用を検討することが極めて重要である。サプライチェーンリスクマネジメントのためのハードウェア部品表(HBOM)フレームワークは、ベンダーが購入者に対して、現在または将来入手する製品に含まれるハードウェアコンポーネントについて、一貫性のある反復可能なコミュニケーション方法を構築することにより、消費者にいくつかのメリットを提供する。これにより、購入者はサプライチェーンにおけるリスクを評価し、低減することができる。さらに、このフレームワークには以下のような利点がある: 
• Provides a useful tool to help industry and government evaluate and address supply chain risks  ・産業界と政府がサプライチェーンのリスクを評価し,対処するのに役立つツールを提供する。
• Helps organizations illuminate supply chains and support the efficient evaluation and mitigation of certain risks  ・組織がサプライチェーンを明らかにし,特定のリスクの効率的な評価と低減を支援する。
• Provides portability between suppliers and purchasers  ・供給者と購入者間の移植性を提供する。
RECOMMENDATIONS FOR AN HBOM USE CASE  HBOMのユースケースに関する推奨事項 
Requesting HBOMs is one of the many activities that purchasers can leverage to evaluate their supply chains in order to mitigate risk. Currently available HBOM formats need supplemental assistance to be portable between suppliers and purchasers and as such, this HBOM framework aims to advance such interoperability. The principal HBOM “use cases” detailed in the report were identified by the ICT industry representative and government stakeholders as relevant for supply chain risk management purposes. These principal HBOM “use cases” can be categorized into three high-level categories, as described in Table 1.  HBOMの要請は、リスクを軽減するためにサプライチェーンを評価するために購入者が活用できる多くの活動の一つである。現在利用可能なHBOMフォーマットは、サプライヤーと購入者の間で移植可能であるために補足的な支援が必要であり、そのようなものとして、このHBOMフレームワークは、そのような相互運用性を促進することを目的としている。本報告書に詳述されている主要なHBOMの「ユースケース」は、サプライチェーン・リスクマネジメントの目的に関連するものとして、ICT業界の代表者及び政府の利害関係者によって特定されたものである。これらの主なHBOMの「ユースケース」は、表1に示すように、3つのハイレベルカテゴリーに分類することができる。
Table 1: “Use Case” Category Definitions  表 1:「ユースケース」カテゴリー定義 
“Use Case” Category : Category Definition  「ユースケース」カテゴリー:カテゴリー定義 
Compliance: Situations which assess the product’s compliance with rules and requirements. These scenarios will help an entity with organizing the information it may need to assess the adherence to internal, industry, customer, and government requirements. コンプライアンス: 製品が規則や要件に準拠しているかを評価する状況。これらのシナリオは、事業体が内部、業界、顧客、政府の要求事項への準拠を評価するために必要な情報を整理するのに役立つ。
Security : Scenarios that evaluate the product’s security risk based on the exposure to known vulnerabilities and/or high susceptibility to untrusted entities/geolocations.  セキュリティ:既知の脆弱性へのエクスポージャー、および/または信頼できない事業体/地理的位置に対する高い感受性に基づいて、製品のセキュリティリスクを評価するシナリオ。
Availability : Conditions that assess product impacts from world events and supply chain diversification (or lack thereof).  可用性:世界的な出来事やサプライチェーンの多様化(またはその欠如)による製品への影響を評価する条件。
DATA FIELDS AND EXAMPLE FORMATS  データフィールドとフォーマット例 
This product is intended to be used on a voluntary and flexible basis and includes three key components: HBOM Use Case Categories, HBOM Formats, and a Data Field Taxonomy. Overall, this product provides definitional and formatting consistency that is helpful regardless of the specific HBOM information to be shared. It also provides guidance on what HBOM components may be appropriate to include in HBOMs that are provided to meet different use cases/goals that purchasers may have (e.g., evaluating security, promoting resiliency/availability, or complying with laws or regulations).  本製品は、自主的かつ柔軟に使用されることを意図しており、3 つの主要な構成要素を含む: HBOMユースケースカテゴリー、HBOMフォーマット、およびデータフィールド分類法である。全体として、この製品は、共有される特定のHBOM情報に関係なく有用な定義と書式の一貫性を提供する。また、どのような HBOM コンポーネントを HBOM に含めるのが適切かについてのガイダンスを提供する。HBOM は、購入者が持ちうるさまざまなユースケース/目標(例えば、セキュリティの評価、レジリエンス/アベイラビリティの促進、または法律や規制の遵守)を満たすために提供される。
In the example below, “Assembly X1,” “Kit X2,” and “Assembly W2” can be separated into additional pieces. Depending on the use-case, key information may reside within these components and may be hidden at the Assembly/Kit level. This is shown in figure 1:  以下の例では、"アセンブリX1"、"キットX2"、"アセンブリW2 "は、さらに分割することができる。ユースケースによっては、重要な情報がこれらの構成要素の中に存在し、アセンブリ/キットレベルでは隠されている場合がある。これを図1に示す: 
Figure 1: Format Example  図1:フォーマットの例 
1_20230926043101
RESOURCES  参考資料 
ICT Supply Chain Risk Management Task Force
・ICT サプライチェーンリスクマネジメントタスクフォース
ICT Supply Chain Library ・ICT サプライチェーン・ライブラリ
ICT SCRM Task Force Resources ・ICT SCRM タスクフォースのリソース

 

 


 

HBOMについては、ここに少し触れられていますね...

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

 

| | Comments (0)

2023.09.25

日本公認会計士協会 IAASB公開草案 国際サステナビリティ保証基準(ISSA)5000「「サステナビリティ保証業務の一般的要求事項」

こんにちは、丸山満彦です。

日本公認会計士協会が、

  • IAASB公開草案 国際サステナビリティ保証基準(ISSA)5000「「サステナビリティ保証業務の一般的要求事項」の翻訳
  • IAASB公開草案 国際サステナビリティ保証基準(ISSA)5000「「サステナビリティ保証業務の一般的要求事項」について解説記事

を公表していますね。。。 解説記事は、CPA対象の記事になっていますね。。。

 

日本会計士協会

翻訳

・2023.09.21 国際サステナビリティ保証基準(ISSA)5000 「サステナビリティ保証業務の一般的要求事項」(公開草案)の翻訳の公表について

 

20230925-113911

 

20230925-113919

 

20230925-113924

 

解説記事

・2023.09.22 【解説記事】IAASB公開草案「国際サステナビリティ保証基準(ISSA)5000「「サステナビリティ保証業務の一般的要求事項」」の公表

・[PDF]

20230925-112715

 

・[DOCX] 国際サステナビリティ保証基準(ISSA) 5000「サステナビリティ保証業務の一般的要求事項」の公開草案のための回答テンプレート

 

原文は...

● IAASB

・2023.08.02 IAASB LAUNCHES PUBLIC CONSULTATION ON LANDMARK PROPOSED GLOBAL SUSTAINABILITY ASSURANCE STANDARD

UNDERSTANDING INTERNATIONAL STANDARD ON SUSTAINABILITY ASSURANCE 5000

・2023.08.02 PROPOSED INTERNATIONAL STANDARD ON SUSTAINABILITY ASSURANCE 5000, GENERAL REQUIREMENTS FOR SUSTAINABILITY ASSURANCE ENGAGEMENTS

・・[PDF] Proposed International Standard on Sustainability Assurance 5000 General Requirements for Sustainability Assurance Engagements and Proposed Conforming and Consequential Amendments to Other IAASB Standards

20230925-125623

 

・・[PDF] Explanatory Memorandum for Proposed International Standard on Sustainability AssuranceTM (ISSA) 5000 General Requirements for Sustainability Assurance Engagements

20230925-125707

 

・・[PDF] FREQUENTLY ASKED QUESTIONS International Standard on Sustainability Assurance 5000

20230925-125715

 

 

| | Comments (0)

ロシア 科学技術センター デジタル外交2023:課題と発展動向

こんにちは、丸山満彦です。

ロシアの科学技術センター(Научно-технический центр)のブログで、「デジタル外交の課題と発展動向」という文書が公表されていますね。。。

Научно-технический центрについては、こちら。。。

安全保障という観点からは、従来の概念に加えてデジタル面あるいはサイバー面についての深い検討が重要となってくるでしょうね。。。それは、デジタル安全保障とかサイバー安全保障とかいうのかもしれませんが。。。外交、軍事力、インテリジェンス、経済の4つの分野でのデジタル、サイバーの影響の分析が重要かもですね。。。

 

Научно-технический центр

・2023.09.22 Цифровая дипломатия 2023: вызовы и тенденции развития

Цифровая дипломатия 2023: вызовы и тенденции развития デジタル外交2023:課題と発展動向
Концептуальная основа цифровой дипломатии сформировалась в 2009 и 2010 гг. в рамках работ Дж. Макхейл о стратегии новой публичной дипломатии США «Публичная дипломатия: укрепление взаимодействия Соединённых Штатов с миром» и «Публичная дипломатия: национальный стратегический императив». デジタル外交の概念的枠組みは、2009年と2010年にJ.マクヘイルによる米国の新しいパブリック外交戦略に関する著作「パブリック外交:米国の世界との関わりを強化する」と「パブリック外交:国家戦略上の緊急課題」の枠組みの中で形成された。
Так, США обозначили проблемы и вызовы, с которыми будет иметь дело публичная дипломатия Web 2.0., которая включает эффективную идеологическую пропаганду; информационную деятельность Китая в сети Интернет; медиа-присутствие России на пространстве бывшего Советского Союза и внешнюю культурную политику Ирана в соцсетях. Публичная дипломатия, согласно, этим документам включат понятие дипломатии вовлечения, которое подразумевает создание условий для изменения политической культуры или смены недемократического режима в других странах посредством поддержки или создания оппозиции. Это является способом решения указанных проблем в цифровом пространстве. В США активно разрабатываются превентивные информационные стратегии, включая быструю реакцию правительства на информацию в блогах и соцсетях, диалог между членами правительства США и отдельными блогерами, создание комплекса неправительственных организаций посредством социальных сетей. Целевую аудиторию для осуществления указанных принципов составляет молодежь и группы оппозиционеров и/или, которые объединяют пользователей вокруг информационной инфраструктуры США и оказывают давление на другие государственные режимы. そこで米国は、Web2.0.パブリック外交が対処すべき問題や課題について概説した。その中には、効果的なイデオロギー・プロパガンダ、中国のインターネット上での情報活動、旧ソ連におけるロシアのメディア・プレゼンス、ソーシャル・ネットワークにおけるイランの対外文化政策などが含まれる。これらの文書によれば、パブリック外交にはエンゲージメント外交という考え方が含まれており、これは他国の政治文化の変革や非民主的な体制変革のための条件を、反対勢力を支援したり作り出したりすることで作り出すというものである。これは、デジタル空間でこれらの問題に対処する方法である。米国では、ブログやソーシャル・ネットワーク上の情報に対する政府の迅速な対応、米国政府のメンバーと個人ブロガーとの対話、ソーシャル・ネットワークを通じた一連の非政府組織の創設など、予防的な情報戦略が積極的に展開されている。これらの原則を実行する対象は、若者や野党グループ、あるいは米国の情報インフラにユーザーを結集させ、他の政府体制に圧力をかけるグループである。
Для осуществления намеченной стратегии в области нового вектора развития дипломатии в США создается ряд специальных служб. В частности, «Управление цифровой дипломатии» в начале 2000-х годов. В рамках Управления созданы несколько направлений работы с социальными сетями, сообществами и т.д. В частности, оценка социальных сетей и организация конференций и семинаров в Литве по обеспечению безопасности групп в социальных сетях, которые организуют протесты против правительств, а также семинары по восприятию американской культуры в Китае, и по обучению молодежи гражданской активности в Тимор-Лесте. Кроме этого, в рамках проекта цифровой дипломатии ведутся разработки стратегий, приложений и инструментов для публичной дипломатии. Параллельно, вопросами внешней политик и информационного влияния на внешнюю аудиторию занимается Управление цифрового взаимодействия (Office of Digital Engagement, ODE) ‑ структурное подразделение Бюро по глобальным связям с общественностью. В его задачи входит поддержка официального присутствия внешнеполитического ведомства США на медиа-платформах Twitter, YouTube, Flickr, Tumblr, Google+, Facebook и Instagram (Facebook и Instagram принадлежат компании Meta, признанной экстремистской организацией и запрещенной в РФ). Кроме этого, подразделение управляет сайтами на иностранных языках, которые поддерживают имидж США за рубежом, анализируют текущую внешнеполитическую ситуацию, осуществляют проверку электронных адресов и каналов.
外交展開の新しいベクトルとして概説された戦略を実施するために、米国では多くの特別なサービスが創設されつつある。特に、2000年代初頭には「デジタル外交室」が設置された。オフィス内には、ソーシャルネットワークやコミュニティなどを扱ういくつかの分野が設けられている。特に、政府に対する抗議行動を組織するソーシャルメディア・グループを確保するために、リトアニアでソーシャルメディアを評価し、会議やワークショップを開催したり、中国でアメリカ文化の認識に関するワークショップを開催したり、東ティモールで若者の市民参加を教えるワークショップを開催したりしている。さらに、デジタル外交プロジェクトは、パブリック外交のための戦略、アプリ、ツールを開発している。これと並行して、グローバル・パブリック・アフェアーズ・オフィスの一部門であるデジタル・エンゲージメント・オフィス(ODE)は、外交政策と対外的なアウトリーチを担当している。その任務には、ツイッター、ユーチューブ、フリッカー、タンブラー、グーグル+、フェイスブック、インスタグラム(フェイスブックとインスタグラムは、過激派組織と認定されロシアで禁止されているメタ社に属している)というメディア・プラットフォームにおける米国の外交政策機関の公式プレゼンスのサポートが含まれる。さらに、海外におけるアメリカのイメージをサポートする外国語のウェブサイトを管理し、現在の外交情勢を分析し、メールアドレスやチャンネルを検証している。
Сегодня основу глобальной политики составляют цифровая геополитика и цифровая дипломатия. В частности, «Стратегия кибербезопасности США» (National Cybersecurity Strategy 2023) утвержденная в марте 2023 года, ориентирована на обеспечение безопасности американских информационных систем, на «расширение американского влияния в мире», «приверженность продвижению интересов США в киберпространстве» и «постоянную борьбу со стратегическими противниками», в числе которых Россия, Китай, Иран и Северная Корея. 今日、デジタル地政学とデジタル外交は世界政治の基盤を形成している。特に、2023年3月に承認された米国の国家サイバーセキュリティ戦略2023は、米国の情報システムの安全性の確保、「世界における米国の影響力の拡大」、「サイバー空間における米国の利益の推進へのコミットメント」、ロシア、中国、イラン、北朝鮮を含む「戦略的敵対国との絶え間ない闘い」に焦点を当てている。
В рамках европейской стратегии цифровой дипломатии обозначены ключевые направления развития в отношении усиления внешней политики для противодействия информационным, цифровым, гибридным угрозам и манипуляцией информацией, укрепления цифрового суверенитета, обеспечения информационной и коммуникационной безопасности, усиления вовлеченности в киберсферу и использования всех инструментов цифровой дипломатии. Параллельно, цифровая геополитика включает области искусственного интеллекта, больших данных, спутниковой системы и оптоволоконных кабелей. В частности, в Давосе одной из основных тенденций 2023 года была названа геополитическая реорганизация глобальных цепочек поставок. Это подтверждается трендами, которые выделили в Diplo: развитие цифровой геополитики в сфере ИИ, данных, чипов, оптоволоконных кабелей и спутников. Таким образом, роль технологий значительно возрастет в геополитической сфере, где цифровая дипломатия становится частью международных отношений и имеет положительное влияние на определенные аспекты дипломатической деятельности и связанные с нововведениями риски. Положительное влияние цифровой дипломатии характеризуется демократизацией дипломатических институтов за счет новых возможностей негосударственных акторов и появления различных видов взаимодействия. Среди рисков можно выделить использование информационных технологий для подрыва доверия к этим институтам и появление новых форм поведения и мобилизации пользователей, которые требуют инструментов прогнозирования.  欧州デジタル外交戦略は、情報、デジタル、ハイブリッドの脅威、情報操作に対抗するための外交政策の強化、デジタル主権の強化、情報通信の安全保障の確保、サイバー・エンゲージメントの強化、あらゆるデジタル外交ツールの活用に関して、主要な発展分野を概説している。並行して、デジタル地政学には、人工知能、ビッグデータ、衛星、光ファイバーケーブルの分野も含まれる。特にダボス会議では、グローバル・サプライ・チェーンの地政学的再編成が2023年の主要トレンドのひとつに挙げられている。これは、ディプロが強調したトレンド、すなわちAI、データ、チップ、光ファイバーケーブル、衛星におけるデジタル地政学の発展によって裏付けられている。デジタル外交が国際関係の一部となりつつあり、外交のある側面やイノベーションに伴うリスクにプラスの影響を与える。デジタル外交のポジティブな影響は、非国家主体にとっての新たな機会や様々なタイプの相互作用の出現を通じた外交機関の民主化によって特徴づけられる。一方、リスクとしては、こうした制度に対する信頼を損なう情報技術の利用や、予測ツールを必要とする新しい形の利用者行動や動員の出現が挙げられる。
Таким образом, анализ формирования новых факторов в сфере цифровой дипломатии и своевременная оценка новых методов обеспечит лидерство на новом дипломатическом направлении. したがって、デジタル外交の領域における新たな要因の形成を分析し、新たな手法をタイムリーに評価することが、新たな外交の方向性におけるリーダーシップを確保することになる。

 

20230819-70206

 


このブログ記事からのリンク先...

USC Center on Public Diplomacy

・[PDF] Public Diplomacy: Strengthening U.S. Engagement with the World - A strategic approach for the 21st century

● U.S. Department of State

・2009.06.11 Public Diplomacy: A National Security Imperative

・2017.09.28 From Behind the Screen to Behind the Scenes: Working on Digital Engagement at State

 

米国のサイバーセキュリティ戦略2023

U.S. White House

・2023. 03.04 [PDF] NATIONAL CYBERSECURITY STRATEGY

欧州連合理事会

European Council / Council of the European Union

・2023.06.26 Digital diplomacy: Council sets out priority actions for stronger EU action in global digital affairs

 

Forbs

・2023.02.24 Looking Into 2023: Key Takeaways From Davos

 

これが意外と興味深い!! ぜひ...

DiPLO

Tracking the pulse of digital governance and diplomacy in 2023: A quarterly progress report

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2023.06.28 EU理事会 デジタル外交 世界のデジタル問題におけるEUの行動強化に向けた優先行動を決定

 

 

| | Comments (0)

2023.09.24

OECD 生成的人工知能のための初期政策検討

こんにちは、丸山満彦です。

OECDが、生成的人工知能のための政策検討についての報告書を公表していますね。。。

AIを擬人的にあつかうのであれば、法人のように管理者を決めて最終的に人に責任が及ぶようにすれば、管理は簡単になるようになるかもですね。。。

個人的に気になるのは、生成的AIによる偽情報による社会混乱でしょうね。。。偽情報による社会混乱は、「情報の生成」+「情報の拡散」、ということだろうと思いますが、「情報の拡散」はSNSで容易に可能となっているので、「情報の生成」が問題が、生成的AIで容易にできるようになると、社会問題となる可能性はありますね。

AIで生成したものにマークをつけるという方法もありますが、悪意のある人に対しの効果は低いかもですね。。。

 

OECD

・2023.09.18 Initial policy considerations for generative artificial Intelligence

・[PDF]

20230924-104747

 

Initial policy considerations for generative artificial Intelligence 生成的人工知能のための初期政策検討
Generative artificial intelligence (AI) creates new content in response to prompts, offering transformative potential across multiple sectors such as education, entertainment, healthcare and scientific research. However, these technologies also pose critical societal and policy challenges that policy makers must confront: potential shifts in labour markets, copyright uncertainties, and risk associated with the perpetuation of societal biases and the potential for misuse in the creation of disinformation and manipulated content. Consequences could extend to the spreading of mis- and disinformation, perpetuation of discrimination, distortion of public discourse and markets, and the incitement of violence. Governments recognise the transformative impact of generative AI and are actively working to address these challenges. This paper aims to inform these policy considerations and support decision makers in addressing them.  生成的人工知能(AI)は、プロンプトに応答して新しいコンテンツを作成し、教育、エンターテインメント、ヘルスケア、科学研究など、さまざまな分野に変革の可能性を提供する。労働市場における潜在的なシフト、著作権の不確実性、社会的偏見の永続化に伴うリスク、偽情報や操作されたコンテンツの作成における悪用の可能性などである。その結果、誤った情報や偽情報の流布、差別の永続化、言論や市場の歪曲、暴力の扇動にまで及ぶ可能性がある。各国政府は、生成的AIの変革的影響を認識し、これらの課題に積極的に取り組んでいる。本稿は、このような政策的考察に情報を提供し、意思決定者がこれらの課題に取り組むことを支援することを目的としている。 

 

目次...

Foreword 序文
Executive summary 要旨
1 Introduction to generative AI 1 生成的AI入門
Generative AI is centre stage in public, academic and political discourse 生成的AIが公的、学術的、政治的言説の中心に
2 Select policy issues raised by generative AI 2 生成的AIが提起する政策課題を選ぶ
Generative AI is being adopted rapidly in key industry sectors 主要産業分野で急速に導入が進む生成的AI
Generative AI considerably amplifies mis- and disinformation’s scale and scope 生成的AIが誤情報・偽情報の規模と範囲を大幅に増幅させる
Bias and discrimination 偏見と差別
Intellectual Property Rights (IPR) issues, including copyright 著作権を含む知的財産権(IPR)問題
Generative AI could impact labour markets on a different scale and scope 生成的AIは労働市場に異なる規模と範囲で影響を与える可能性がある
3 Potential futures for generative AI 3 生成的AIの未来の可能性
Development trajectories of large-language and image-generating models 大規模言語モデルと画像生成モデルの発展軌跡
Generative AI markets are projected to continue growing rapidly in key areas 生成的AI市場は主要分野で急成長を続けると予測される
Potential future concerns and risks 将来起こりうる懸念とリスク
Risk mitigation measures リスク軽減策
4 Conclusion 4 まとめ
References 参考文献
Notes 備考

 

エグゼクティブサマリー...

Executive summary  要旨 
Generative AI systems create novel content and can bring value as autonomous agents  生成的AIシステムは斬新なコンテンツを創造し、自律的なエージェントとして価値をもたらすことができる。 
Generative artificial intelligence (AI) systems create new content—including text, image, audio, and video—based on their training data and in response to prompts. The recent growth and media coverage of generative AI systems, notably in the areas of text and image generation, has spotlighted AI’s capabilities, leading to significant public, academic, and political discussion.  生成的人工知能(AI)システムは、学習データに基づいて、またプロンプトに応答して、テキスト、画像、音声、動画を含む新しいコンテンツを作成する。最近、特にテキストや画像の生成の分野で、生成的AIシステムが成長し、メディアで取り上げられるようになったことで、AIの能力が注目され、社会、学術、政治的に重要な議論につながっている。 
In addition to generating synthetic content, generative AI systems are increasingly used as autonomous agents with new functionality enabling them to operate on real-time information and assist users in new ways, such as by making bookings autonomously. Investment banks, consulting firms, and researchers project that generative AI will create significant economic value, with some estimating as much as USD 4.4 trillion per year.  合成コンテンツの生成に加え、生成的AIシステムは、リアルタイムの情報に基づいて動作し、自律的に予約を行うなど、新たな方法でユーザーを支援することを可能にする新機能を備えた自律エージェントとして、ますます利用されるようになっている。投資銀行、コンサルティング会社、研究者は、生成的AIが大きな経済価値を生み出すと予測しており、年間4兆4,000億米ドルに達するとの試算もある。 
Generative AI could revolutionise industries and society but carries major risks   生成的AIは産業と社会に革命をもたらす可能性があるが、大きなリスクを伴う  
Generative AI is already used to create individualised content at scale, automate tasks, and improve productivity. Generative AI is yielding benefits in key sectors such as software development, creative industries and arts (e.g., artistic expression through music or image generation), education (e.g., personalised exam preparation), healthcare (e.g., information on tailored preventative care), and internet search.    生成的AIはすでに、個別にカスタマイズされたコンテンツを大規模に作成し、タスクを自動化し、生産性を向上させるために利用されている。生成的AIは、ソフトウェア開発、クリエイティブ産業や芸術(例:音楽や画像生成による芸術表現)、教育(例:パーソナライズされた試験対策)、ヘルスケア(例:オーダーメイドの予防医療に関する情報)、インターネット検索などの主要分野で利益をもたらしている。   
However, alongside the benefits, there are significant policy implications and risks to consider, including in the areas of mis- and disinformation, bias, intellectual property rights, and labour markets.   しかし、誤情報や偽情報、偏見、知的財産権、労働市場などの分野では、メリットとともに、考慮すべき重大な政策的意味合いとリスクがある。  
Major mis- and disinformation risks from synthetic content call for novel policy solutions   合成コンテンツによる重大な誤情報・偽情報リスクは、斬新な政策的解決策を求める  
Humans are less and less capable of differentiating AI from human-generated content, amplifying risks of mis- and disinformation. This can cause material harm at individual and societal levels, particularly on science-related issues, such as vaccine effectiveness and climate change, and in polarised political contexts. Mitigation measures include increasing model size, developing models that provide evidence and reference source material, watermarking, “red-teaming,” whereby teams adopt an attacker mindset to probe the model for flaws and vulnerabilities, and developing AI systems that help detect synthetic content. However, these measures have limitations and are widely expected to be insufficient, calling for innovative approaches that can address the scale of the issue.  人間は、AIと人間が生成したコンテンツを区別する能力がますます低下しており、誤情報や偽情報のリスクを増幅させている。これは、特にワクチンの有効性や気候変動といった科学に関連する問題や、極論化した政治的文脈において、個人や社会レベルで重大な損害を引き起こす可能性がある。緩和策としては、モデルのサイズを大きくすること、証拠や参照元となる資料を提供するモデルを開発すること、電子透かしを入れること、チームが攻撃者の考え方を採用してモデルに欠陥や脆弱性がないか探る「レッド・チーミング」、合成コンテンツの検出を支援するAIシステムを開発することなどが挙げられる。しかし、これらの対策には限界があり、不十分であることが広く予想されるため、問題の規模に対応できる革新的なアプローチが求められている。 
Generative AI, like other types of AI, can echo and perpetuate biases contained in training data   生成的AIは、他のタイプのAIと同様に、学習データに含まれるバイアスを反響させ、永続させる可能性がある。  
Generative AI can echo, automate, and perpetuate social prejudices, stereotypes and discrimination by replicating biases contained in training data. This can exacerbate the marginalisation or exclusion of specific groups. Mitigation approaches include enhanced inclusivity in and curation of training data, explainability research, auditing, model fine-tuning through human feedback, and “red teaming”.  生成的AIは、学習データに含まれる偏見を複製することで、社会的偏見、ステレオタイプ、差別を反響させ、自動化し、永続させる可能性がある。これは、特定のグループの疎外や排除を悪化させる可能性がある。緩和策としては、学習データの包括性の強化やキュレーション、説明可能性調査、監査、人間からのフィードバックによるモデルの微調整、「レッド・チーミング」などがある。 
Legal systems are grappling with generative AI’s implications for intellectual property rights  法制度は生成的AIが知的財産権に与える影響に取り組んでいる 
In particular, generative AI models are trained on massive amounts of data that includes copyrighted data, mostly without the authorisation of rights-owners. Another ongoing debate is whether artificially generated outputs can themselves be copyrighted or patented and if so, to whom.   特に、AI生成モデルは、著作権で保護されたデータを含む膨大な量のデータで学習されるが、そのほとんどは権利所有者の許可を得ていない。また、人工的に生成された出力自体が著作権や特許を取得できるかどうか、できるとすれば誰に対してか、といった議論も続いている。  
Progress in generative AI may increase job task exposure in high-skilled occupations   生成的AIの進歩により、高技能職種の職務への曝露が増加する可能性  
Generative AI’s availability to the public has heightened focus on its potential impact on labour markets. Measures of language model performance on standardised tests, such as the bar exam for qualifying attorneys in the United States, surprised many with its strong results relative to human test-takers, suggesting possible increased job task exposure in high-skilled occupations, though lower-skilled occupations have for now been the most exposed to automation. The OECD Employment Outlook notes that AI can benefit jobs by creating demand for new tasks and complementary skills, resulting in new jobs for which human labour has a comparative advantage. Recent research shows that generative AI can improve the performance of less skilled workers.  生成的AIが一般に利用可能になったことで、労働市場への潜在的な影響に注目が集まっている。米国の弁護士資格のための司法試験のような標準化されたテストにおける言語モデルのパフォーマンスの測定は、人間の受験者に比べて強い結果で多くの人を驚かせ、高技能職業における仕事タスクの露出が増加する可能性を示唆している。OECDの雇用見通しでは、AIは新たなタスクと補完的スキルに対する需要を創出することで雇用に利益をもたらし、その結果、人間の労働力が比較優位を持つ新たな仕事を生み出すことができると指摘している。最近の研究によれば、生成的AIは熟練度の低い労働者のパフォーマンスを向上させることができる。 
Security, surveillance, over-reliance, academic dishonesty and concentration are also risks  セキュリティー、監視、過度の信頼、不正行為、集中力もリスクとなる 
In addition to present-day considerations of generative AI, a longer-term view helps envision the technology’s future trajectories. Generative AI and the synthetic content it produces with varying quality and accuracy can exacerbate challenges. This content proliferates in digital spaces where it is used to train generative AI models, resulting in and a vicious negative cycle in the quality of online information. It also raises concerns about automated and personalised cyber-attacks, surveillance and censorship, overreliance on generative systems despite their flaws, academic dishonesty, and concentrations of power and resources.   生成的AIの現在の考察に加え、より長期的な視点は、この技術の将来の軌跡を描くのに役立つ。生成的AIと、それが生成するさまざまな品質と精度の合成コンテンツは、課題を悪化させる可能性がある。このようなコンテンツは、生成的AIモデルの学習に使用されるデジタル空間で拡散し、結果としてオンライン情報の質に悪循環をもたらす。また、自動化されパーソナライズされたサイバー攻撃、監視と検閲、欠陥があるにもかかわらず生成システムに過度に依存すること、学術的不正、権力と資源の集中といった懸念も生じている。  
Agency, power-seeking, non-aligned sub-goals and other potential emergent behaviours require attention  主体性、権力追求、非同一的なサブゴール、その他の潜在的な出現行動には注意が必要である。 
Over the longer term, emergent behaviours, of which the existence is debated in the AI community, suggest additional risks. These behaviours include increased agency, power-seeking, and developing unknown sub-goals determined by machines to achieve core objectives programmed by a human but that might not be aligned with human values and intent. Some deem that if these risks are not addressed, they could lead to systemic harms and the collective disempowerment of humans.   長期的に見れば、AIコミュニティでその存在が議論されている創発的行動は、さらなるリスクを示唆している。これらの行動には、主体性の増大、権力追求、人間の価値観や意図とは一致しないかもしれないが、人間によってプログラムされた中核的な目標を達成するために機械が決定する未知の副目標の開発などが含まれる。これらのリスクに対処しなければ、体系的な損害や人間の集団的な権限剥奪につながりかねないという意見もある。  
The growing impact and capability of generative AI systems has led to reflection and debates among researchers and members of the OECD.AI Expert Group on AI Futures about whether these types of models could eventually lead to artificial general intelligence (AGI), the stage at which autonomous machines could have human-level capabilities in a wide variety of use cases. Due to its potential broad societal impacts, AGI’s potential benefits and risks deserve attention, as do the potentially imminent impacts of narrow generative AI systems that may be just as significant as AGI.   生成的AIシステムの影響力と能力の高まりは、研究者やOECDのAI専門家グループのメンバーの間で、この種のモデルが最終的に人工的な一般知能(AGI)につながるかどうか、つまり自律的な機械が様々なユースケースにおいて人間レベルの能力を持つ段階に至るかどうかについての考察や議論を引き起こしている。AGIは幅広い社会的影響をもたらす可能性があるため、AGIの潜在的な利益とリスクは注目に値する。また、AGIと同様に重要な意味を持つ可能性のある、狭い範囲の生成的AIシステムの差し迫った影響も注目に値する。  
The longer-term benefits and risks of generative AI could demand solutions on a larger, more systemic scale than the risk mitigation approaches already underway. These measures and others are the topic of ongoing OECD work, including work of the OECD.AI Expert Group on AI Futures.  生成的AIの長期的なメリットとリスクは、すでに進行中のリスク軽減アプローチよりも大規模で体系的な規模の解決策を要求する可能性がある。これらの対策やその他の対策は、AI未来に関するOECD.AI専門家グループの作業を含む、現在進行中のOECD作業のテーマである。 

 

 

| | Comments (0)

米国 ピュー研究所 政府に対する国民の信頼 1958-2023

こんにちは、丸山満彦です。

米国のシンクタンクであるピュー研究所 (Pew Reserch Center) [wikipedia] が米国民の政府に対する国民の信頼について1958年から調査をしているようですが、その報告が興味深いですね。。。

米国連邦政府って、日本政府よりも国民に信頼されているとおもっていたら、どっこいどっこい、むしろ日本の政府のほうが国民に信頼されている?

信頼するか?支持するか?という言葉の違いとかもあるかもですが、に、しても、低い感じを受けました。。。

 

Pew Reserch Center

Public Trust in Government: 1958-2023

20230924-62714

興味深い...

 

| | Comments (0)

米国 AICPA SECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきこと

こんにちは、丸山満彦です。

サイバーセキュリティに関するSECの開示ルールが2023年12月15日以降に終了する事業年度の年次報告書から義務付けられ、2023年12月18日(小規模報告企業は2024年6月15日)以降、企業はサイバーセキュリティに関する重要なインシデントが発生したと判断した場合、4営業日以内に開示することが求められるわけですが、、、

AICPA & CIMAからSECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきことという文書が公表されていますね。。。

AICPA & CIMA

・2023.09.18 What Management Needs to Know About the New SEC Cybersecurity Disclosure Rules

 

・[PDF]

20230924-55300

 

What Management Needs to Know About the New SEC Cybersecurity Disclosure Rules SECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきこと
Contents 目次
What management needs to know about the new SEC cybersecurity disclosure rules SECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきこと
Certifications regarding disclosure controls and procedures 開示の統制と手続に関する証明
Disclosing material cybersecurity incidents 重要なサイバーセキュリティインシデントの開示
Disclosing cybersecurity risk management and strategy サイバーセキュリティのリスクマネジメントと戦略の開示
Cybersecurity governance and board oversight サイバーセキュリティガバナンスと取締役会の監督
Additional resources その他のリソース
Endnotes 巻末資料
What management needs to know about the new SEC cybersecurity disclosure rules SECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきこと
In July of 2023, the SEC adopted rules requiring registrants that are subject to the reporting requirements of the Securities Exchange Act of 1934 to make timely disclosure of material cybersecurity incidents as well as annual disclosure of information regarding their cybersecurity risk management, strategy, and governance. The new annual disclosures will be required starting with annual reports for fiscal years ending on or after December 15, 2023, and will be subject to CEO and CFO Section 302(a) certifications, meaning the assessment of the design and effectiveness of disclosure controls and procedures will need to incorporate the new cybersecurity disclosures. These disclosures cover topics in which the CEO and CFO may not have a high level of expertise. Those responsible for managing cybersecurity (e.g., chief information officer [CIO] or chief information security officer [CISO]) will be providing information for disclosure in SEC filings, requiring a new level of responsibility and accountability. Boards and their relevant committees should also be aware that these new rules require disclosures regarding oversight of cybersecurity risks and consider whether they need to enhance their oversight of the entity’s cybersecurity program in light of the new disclosure requirements. 2023年7月、SECは、1934年証券取引法の報告義務の対象となる登録企業に対し、サイバーセキュリティに関する重要なインシデントの適時開示に加え、サイバーセキュリティのリスクマネジメント、戦略、ガバナンスに関する情報の年次開示を義務付ける規則を採択した。この新しい年次開示は、2023年12月15日以降に終了する事業年度の年次報告書から義務付けられ、最高経営責任者(CEO)および最高財務責任者(CFO)の第302条(a)証明書の対象となる。これらの開示は、最高経営責任者(CEO)や最高財務責任者(CFO)が高度な専門知識を有していない可能性のあるトピックをカバーしている。サイバーセキュリティの管理責任者(最高情報責任者(CIO)や最高情報セキュリティ責任者(CISO)など)は、SEC提出書類で開示する情報を提供することになり、新たなレベルの責任と説明責任が求められる。また、取締役会とその関連委員会は、これらの新規則がサイバーセキュリティリスクの監督に関する開示を要求していることを認識し、新たな開示要件に照らして事業体のサイバーセキュリティプログラムの監督を強化する必要があるかどうかを検討する必要がある。
Cybersecurity information disclosed in SEC filings, including information about material cybersecurity incidents and the company’s risk management, strategy, and governance, is likely to invite scrutiny by the SEC, investors and others. Inconsistencies between the required cybersecurity disclosures and communications on company websites or other public forums could lead to unwanted negative attention or action by regulators and others. 重要なサイバーセキュリティインシデントや企業のリスクマネジメント戦略、ガバナンスに関する情報など、SEC提出書類で開示されるサイバーセキュリティ情報は、SECや投資家などによる精査を招く可能性が高い。必要とされるサイバーセキュリティの開示と、企業のウェブサイトやその他の公的な場でのコミュニケーションとの間に矛盾があれば、規制当局などによる不本意な否定的注目や行動につながる可能性がある。
THE IMPORTANCE OF ACCURATE COMMUNICATIONS 正確なコミュニケーションの重要性
Companies have been subject to SEC enforcement actions regarding cybersecurity disclosures that were inconsistent with facts revealed as a result of cybersecurity events. For example, in 2001 Pearson plc agreed to pay $1 million to settle charges that it misled investors about a 2018 cyber intrusion and had inadequate disclosure controls and procedures when they referred to a data privacy incident as a hypothetical risk, when, in fact, the 2018 cyber intrusion had already occurred.1 サイバーセキュリティの開示が、サイバーセキュリティの事象の結果として明らかになった事実と矛盾していたとして、企業がSECの強制措置の対象となったことがある。例えば、2001年にピアソン・ピーエルシーは、2018年のサイバー侵入について投資家に誤解を与え、実際には2018年のサイバー侵入がすでに発生していたにもかかわらず、データ・プライバシー・インシデントを仮定のリスクとして言及し、開示統制と手続が不十分であったとして、100万ドルの支払いに合意した1。
Certifications regarding disclosure controls and procedures 開示の統制と手続に関する証明
Section 302(a) of the Sarbanes-Oxley Act of 2002 requires the CEO and CFO (or their equivalent) to certify the financial and other information contained in the registrant’s forms 10-K. Among other things, these executives certify that they have designed disclosure controls and procedures (DC&P) to ensure that they are made aware of material information.2 The controls and processes the entity has in place to manage its cybersecurity disclosures are part of DC&P and should be considered when making certifications.  2002年サーベンス・オクスリー法第302条(a)は、最高経営責任者(CEO)および最高財務責任者(CFO)(またはそれに相当する者)に対し、登録者のフォーム10-Kに含まれる財務情報およびその他の情報を証明するよう求めている。とりわけ、これらの経営幹部は、重要な情報を確実に把握するための開示の統制と手続(DC&P) を設計していることを証明する2 。事業体がサイバーセキュリティの開示を管理するために導入している統制とプロセ スは、DC&P の一部であり、証明書を作成する際に考慮すべきである。
Although there are no certification requirements for the 8-K, SEC rules require that DC&P be designed, maintained and evaluated to ensure full and timely disclosure in current reports.3 In other words, even though the CEO and CFO do not have to certify DC&P on form 8-K, they are still responsible for establishing controls and procedures to ensure proper disclosure of material cybersecurity incidents and should be comfortable that they are getting complete and accurate information on a timely basis in order to appropriately disclose material cybersecurity incidents. 8-K には証明要件はないが、SEC 規則は、最新の報告書において完全かつタイムリーな開示を確実にするために、 DC&P を設計し、維持し、評価することを求めている3。言い換えれば、CEO と CFO は、フォーム 8-K 上で DC&P を証明する必要はないとしても、重要なサイバーセキュリティインシデントを適切に開示の統制と手続を確立する責任があり、重要なサイバーセキュリティインシデントを適切に開示するために、完全かつ正確な情報を適時に入手していることに安心すべきなのである。
The information necessary for cyber-related disclosures generally originates with those responsible for managing cybersecurity risks. CEOs and CFOs will need to work with that individual or group of individuals to determine whether current disclosure procedures adequately address information that is required to be disclosed for material cyber incidents as well as cybersecurity risk management strategies and oversight. Some companies may simply need to incorporate existing informal or ad hoc controls and procedures for communicating cyber-related information into the system of disclosure controls and procedures. Other companies may need to build out their existing system of disclosure controls and procedures to include required cybersecurity information. サイバー関連の開示に必要な情報は、一般的にサイバーセキュリティ・リスクのマネジメント責任者から発信される。最高経営責任者(CEO)や最高財務責任者(CFO)は、重要なサイバーインシデントやサイバーセキュリティ・リスクマネジメント戦略・監督について、現在の開示手続が開示すべき情報に適切に対応しているかどうかを判断するために、その個人やグループと協力する必要がある。企業によっては、サイバー関連情報を伝達するための既存の非公式または場当たり的な統制及び手続を開示統制及び手続の体系に組み込むだけでよい場合もある。また、必要なサイバーセキュリティ情報を含めるために、既存の開示統制・手続システムを構築する必要がある企業もあるだろう。
The information necessary for cyber-related disclosures generally originates with those responsible for managing cybersecurity risks. サイバー関連の開示に必要な情報は、一般的にサイバーセキュリティリスクマネジメントの責任者から発信される。
Disclosing material cybersecurity incidents 重要なサイバーセキュリティインシデントの開示
Starting December 18, 2023 (June 15, 2024 for smaller reporting companies) companies will be required to disclose material cybersecurity incidents within four business days of determining that they are material. Although those responsible for managing cybersecurity risks should have already been communicating information about cybersecurity incidents internally or externally due to laws or regulations (including existing SEC requirements), the specificity associated with the new requirements may result in additional scrutiny and responsibility. If information about material incidents is not disclosed, or these disclosures are insufficient, inaccurate, or not timely, the company and individuals within the company may be subject to SEC inquiries or enforcement actions. 2023年12月18日(小規模報告企業は2024年6月15日)以降、企業はサイバーセキュリティに関する重要なインシデントが発生したと判断した場合、4営業日以内に開示することが求められる。サイバーセキュリティ・リスクをマネジメントする責任者は、法律や規制(既存のSECの要件を含む)により、サイバーセキュリティ・インシデントに関する情報をすでに社内外に伝達しているはずであるが、新たな要件に関連する具体性により、さらなる精査と責任が生じる可能性がある。重要なインシデントに関する情報が開示されなかったり、開示が不十分であったり、不正確であったり、タイムリーでなかったりした場合、会社や会社内の個人はSECの照会や強制措置の対象となる可能性がある。
As noted above, processes should be in place to ensure those in charge of cybersecurity risk management communicate events to those in charge of SEC disclosures in a timely manner so that the need for disclosure can be evaluated and, if needed, disclosures made. Guidance may be needed to help those who manage cybersecurity risk understand the type of information that needs to be provided to those preparing the disclosures so that those incidents determined to be material for reporting can be appropriately reported.  上述のように、サイバーセキュリティリスクマネジメントの担当者が、開示の必要性を評価し、必要であれば開示を行うことができるように、SECの開示担当者にタイムリーに事象を伝達するプロセスを確保すべきである。報告にとって重要であると判断されたインシデントが適切に報告されるように、サイバーセキュリティ・リスクを管理する担当者が、開示を準備する担当者に提供する必要がある情報の種類を理解できるようにするためのガイダンスが必要かもしれない。
Determining materiality is key to knowing which cybersecurity incidents need to be disclosed. Both executive management and those responsible for managing cybersecurity risks should be informed and involved in evaluations regarding materiality and whether an incident needs to be disclosed. Various parties (e.g., CISO, CIO, CEO, CFO, legal, board) may have different frames of reference that are relevant for determining whether an incident should be communicated. For example, the SEC’s materiality threshold5 may be different than other thresholds currently used to communicate incidents to other regulatory agencies and affected parties as required by law.6 It is also important to note that the SEC definition of a cybersecurity incident includes a series of related unauthorized occurrences. This means that disclosure requirements apply if related occurrences are material as a whole, even if each individual occurrence is immaterial.  重要性の判断は、どのサイバーセキュリティインシデントを開示する必要があるかを知るための鍵である。経営幹部とサイバーセキュリティリスクを管理する責任者の両方が、重要性とインシデントが開示される必要があるかどうかに関する評価に情報を提供し、関与する必要がある。様々な関係者(例えば、CISO、CIO、CEO、CFO、法務部、取締役会)が、インシデントを伝達すべきかどうかを判断するために関連する異なる参照枠を持っている可能性がある。例えば、SEC の重要性の閾値5 は、法律で義務付けられているように、インシデントを他の規制 機関や影響を受ける関係者に伝達するために現在使用されている他の閾値とは異なる可能性がある6。これは、関連する発生が全体として重要であれば、個々の発生が重要でなくても、開示要件が適用されることを意味する。
Companies must make their materiality determinations “without unreasonable delay.” For example, the SEC has noted that if the materiality determination is to be made by a board committee, intentionally deferring the committee meeting past the normal time it would take to convene members may constitute an unreasonable delay.7 Management may want to document who is ultimately responsible for making the materiality determination and criteria for determining what would constitute an unreasonable delay before they identify an incident that could be material.  企業は、重要性の決定を「不合理な遅延なく」行わなければならない。例えば、SECは、重要性の判断が取締役会の委員会により行われる場合、委員を招集するために通常要する時間を超えて委員会の開催を意図的に延期することは、不合理な遅延に該当する可能性があると指摘している7。経営者は、重要性の可能性があるインシデントを特定する前に、誰が重要性の判断の最終責任者であるか、また何が不合理な遅延に該当するかを判断する基準を文書化しておくとよいであろう。
CYBERSECURITY INCIDENT DISCLOSURES (8-K)4 サイバーセキュリティインシデントの開示(8-K)4
+ Disclose any cybersecurity  incident the registrant experiences that is determined to be material, describing: ・重要であると判断されたサイバーセキュリティインシデントを開示する:
 ·  The material aspects of the nature, scope, and timing of the incident; and  - インシデントの性質、範囲、および時期に関する重要な側面。
 ·  The material impact or reasonably likely material impact of the incident on the registrant, including its financial condition and results of operations.  - インシデントの性質、範囲、タイミングの重要な側面、および財務状況や経営成績など、インシデントが登録者に及ぼす重大な影響または合理的に起こりうる重大な影響。
+ Form 8-K must be filed  within four business days of determining that an incident is material. ・フォーム8-Kは,インシデントが重要であると判断してから4営業日以内に提出しなければならない。
+ A filing may be delayed if  the U.S. Attorney General determines immediate disclosure would pose a substantial risk to national security or public safety. ・米国司法長官が,即時開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断した場合は,提出を延期することができる。
+ Information is material  if there is a substantial likelihood that a reasonable shareholder would consider it important in making an investment decision, or if it would have significantly altered the total mix of information made available. ・合理的な株主が投資判断をする際にその情報を重要視する可能性が高い場合,またはその情報が入手可能な情報の組み合わせを大きく変える可能性がある場合,その情報は重要である。
Comparable disclosures are required by foreign private issuers on Form 6-K. 外国の非公開発行体には、Form 6-Kで同等の開示が求められている。
Disclosing cybersecurity risk management and strategy サイバーセキュリティのリスクマネジメントと戦略の開示
In addition to disclosing material cybersecurity incidents, the rules require companies to disclose information about their cybersecurity risk management processes and strategy, beginning with the annual report for any period ending on or after December 15, 2023. Management and the SEC disclosure team should work with those responsible for managing cybersecurity risks to ensure they have an adequate understanding of the company’s process for identifying, managing, and overseeing cybersecurity risks so that proper disclosure can be made in the 10-K.  重要なサイバーセキュリティインシデントの開示に加え、2023年12月15日以降に終了する期間の年次報告書から、企業はサイバーセキュリティリスクマネジメントのプロセスと戦略に関する情報を開示することが規則で義務付けられている。経営陣とSECのディスクロージャー・チームは、サイバーセキュリティ・リスクの管理責任者と協力して、サイバーセキュリティ・リスクを特定、管理、監督するための会社のプロセスを十分に理解し、10-Kで適切な開示ができるようにすべきである。
While the new rules provide some specific information that should be disclosed when describing the company’s processes for assessing, identifying, and managing material risks from cybersecurity threats, it also notes that the specific information is not all-inclusive and that registrants should also disclose whatever information is necessary, based on their facts and circumstances, for a reasonable investor to understand their cybersecurity processes. The AICPA’s Description Criteria for Management’s Description of the Entity’s Cybersecurity Risk Management Program presents multiple criteria that management may consider when determining what information a reasonable investor may find useful in understanding the company’s cybersecurity processes. This framework may also be useful in determining what to communicate with the board or other stakeholders. 新規則は、サイバーセキュリティの脅威による重大なリスクをアセスメントし、特定し、マネジメントするための会社のプロセスを説明する際に開示すべきいくつかの具体的な情報を提供しているが、具体的な情報はすべてを網羅するものではなく、登録者は、合理的な投資家が自社のサイバーセキュリティ・プロセスを理解するために、自社の事実と状況に基づいて必要なあらゆる情報も開示すべきであると指摘している。AICPAの「事業体のサイバーセキュリティ・リスクマネジメント・プログラムに関するマネジメントの説明のための記述基準(Description Criteria for Management's Description of the Entity's Cybersecurity Risk Management Program)」は、合理的な投資家が会社のサイバーセキュリティ・プロセスを理解する上で有用と思われる情報を決定する際に、マネジメントが考慮しうる複数の基準を提示している。このフレームワークは、取締役会やその他の利害関係者と何をコミュニケーションすべきかを決定する際にも有用であろう。
RISK MANAGEMENT AND STRATEGY DISCLOSURES (10-K)8 リスクマネジメントと戦略の開示(10-K)8
+ The registrant’s processes, if any, for  assessing, identifying, and managing material risks from cybersecurity threats in sufficient detail for a reasonable investor to understand those process. 
・サイバーセキュリティの脅威による重大なリスクをアセスメントし、識別し、マネジメントするための登録者のプロセスがある場合は、合理的な投資家がそれらのプロセスを理解できるよう十分に詳細に記載する。
Including whether: 以下を含む:
 ·  The described cybersecurity processes have been integrated into the registrant’s overall risk management system or process, and if so, how;   - 説明されているサイバーセキュリティプロセスが、登録者の全体的なリスクマネジメントシステムまたはプロセスに統合されているかどうか、統合されている場合はその方法; 
 ·  The registrant engages assessors, consultants, auditors, or other third parties in connection with any such processes; and  - 登録者は、そのようなプロセスに関連して、評価者、コンサルタント、監査人、またはその他のサードパーティを雇用しているか。
 ·  The registrant has processes to oversee and identify material risks from cybersecurity threats associated with its use of any third- party service provider   - 登録者は、サードパーティ・サービス・プロバイダの使用に関連するサイバーセキュリティの脅威による重大なリスクを監督し、識別するプロセスを有している。
The above list is not all-inclusive. Registrants should additionally disclose whatever information is necessary, based on their facts and circumstances, for a reasonable investor to understand their cybersecurity processes. 上記のリストはすべてを網羅するものではない。登録者は、合理的な投資家が自社のサイバーセキュリティプロセスを理解するために、自社の事実と状況に基づき必要な情報を追加的に開示すべきである。
+ Whether any risks from cybersecurity  threats, including as a result of any previous cybersecurity incidents, have materially affected or are reasonably likely to materially affect the registrant, including its business strategy, results of operations, or financial conditions and if so, how. ・サイバーセキュリティの脅威によるリスク(過去のサイバーセキュリティインシデントの結果を含む)が、事業戦略、経営成績、財務状況など、登録者に重大な影響を与えたか、または与える可能性があるかどうか、また与える可能性がある場合はどのように与えるか。
Comparable disclosures are required by foreign private issuers on Form 20-F. 外国の非公開発行体には、Form 20-Fで同等の開示が義務付けられている。
Managing Risk from Service Providers  サービスプロバイダーからのリスクマネジメント 
The SEC has noted an increasing number of cybersecurity incidents pertain to service providers.9 Because of the associated risk, the rules require disclosure of whether the company has processes to oversee and identify the cybersecurity risks associated with its use of any third-party service providers. A System and Organization Controls (SOC) 2® report from a service provider can be an important component of an effective strategy for managing the cybersecurity risks of service providers. While similar in structure and content to the SOC 1® reports used in evaluating internal control over financial reporting, SOC 2 reports provide information for evaluating the internal control of service providers on other matters. The culmination of an examination performed by an independent CPA, a SOC 2 report can address controls relevant to the security, availability and processing integrity of the systems used to provide services to its users and the confidentiality and privacy of the information these systems process. Management can use a SOC 2 report in its evaluation of certain risks associated with doing business with the service provider.  SECは、サービス・プロバイダに関するサイバーセキュリティ・インシデントが増加していることを指摘している9 。このようなインシデントにはリスクが伴うため、SECは、サードパーティ・サービス・プロバイダの利用に関連するサイバーセキュリティ・リスクを監督・特定するプロセスを会社が有しているかどうかの開示を義務付けている。サービス・プロバイダからのSOC(System and Organization Controls)2®報告書は、サービス・プロバイダのサイバーセキュリティ・リスクをマネージするための効果的な戦略の重要な構成要素となり得る。SOC 2報告書は、財務報告に係る内部統制の評価に使用されるSOC 1®報告書と同様の構成および内容であるが、その他の事項に関するサービス・プロバイダの内部統制を評価するための情報を提供するものである。独立した公認会計士による検査の集大成であるSOC 2報告書は、ユーザーへのサービス提供に使用されるシステムのセキュリティ、可用性、処理の完全性、およびこれらのシステムが処理する情報の機密性とプライバシーに関連する統制を取り上げることができる。マネジメントは、サービス・プロバイダとの取引に関連する特定のリスクの評価にSOC 2報告書を利用することができる。
Cybersecurity governance and board oversight サイバーセキュリティガバナンスと取締役会の監督
The new SEC requirements include disclosure about both management and the board’s oversight of cybersecurity risk. As part of their oversight, the board may evaluate whether the company’s cybersecurity risk management program is sufficiently robust, or if there are gaps that should be filled. Management related disclosures include a discussion of the relevant expertise of those members of management responsible for measuring and managing cybersecurity risk. SEC の新しい要件には、サイバーセキュリティリスクに関するマネジメントと取締役会の監督に関する開示が含まれている。取締役会は、その監督の一環として、会社のサイバーセキュリティ・リスクマネジメント・プログラムが十分に強固であるかどうか、あるいは埋めるべきギャップがあるかどうかを評価することができる。マネジメントに関連する開示には、サイバーセキュリティリスクの測定と管理を担当するマネジメントメンバーの関連する専門知識についての議論が含まれる。
Management should be prepared to provide support as board members exercise their oversight responsibilities. An open and frequently utilized line of communication between the board and those responsible for managing cybersecuirty risk will make it easier to address cybersecurity concerns real-time and before an incident occurs. 経営陣は、取締役会のメンバーが監督責任を行使する際にサポートを提供できるように準備しておく必要がある。取締役会とサイバーセキュリティリスクマネジメントの責任者との間にオープンで頻繁に利用されるコミュニケーションラインがあれば、サイバーセキュリティに関する懸念にリアルタイムで、インシデントが発生する前に対処することが容易になる。
Management may expect questions from the board, such as the following,11 as the board obtains an understanding of the company’s cybersecurity risk management process: 取締役会が会社のサイバーセキュリティ・リスク管理プロセスを理解するために、マネジメントは取締役会から以下のような質問11 を受けることがある:
What framework, if any, does management use in designing their cybersecurity risk management program (e.g., NIST CSF, ISO/IEC 27001/27002, SEC cybersecurity guidelines, AICPA Trust Services Criteria)? 経営陣は、サイバーセキュリティリスクマネジメントプログラムの設計にどのようなフレームワーク(NIST CSF、ISO/IEC 27001/27002、SEC サイバーセキュリティガイドライン、AICPA トラストサービス基準など)を使用しているか。
+  What framework, if any, does management use in communicating pertinent information about its cybersecurity management program? ・経営陣は、サイバーセキュリティ管理プログラムに関する適切な情報をコミュニケーショ ンする際に、どのようなフレームワークを使用しているか(もしあれば)。
+  What processes and programs are in place to periodically evaluate the cybersecurity risk management program and related controls? ・サイバーセキュリティリスクマネジメントプログラムと関連する統制を定期的に評価するために,どのようなプロセスとプログラムがあるか。
+  What cybersecurity policies, processes, and controls are in place to detect, respond to, mitigate, and recover from – on a timely basis – cybersecurity events that are not prevented? ・防止できなかったサイバーセキュリティ事象をタイムリーに検知,対応,軽減,回復するために,どのようなサイバーセキュリティポリシー,プロセス,統制が整備されているか。
+  In the event of a cybersecurity breach, what controls are in place to help ensure that the IT department and appropriate senior management (including board members charged with governance) are informed and engaged on a timely basis—and that other appropriate responses and communications take place?  ・サイバーセキュリティ侵害が発生した場合、IT 部門および適切な上級管理職(ガバナンスを担 当する取締役会メンバーを含む)にタイムリーに情報を提供し、関与させ、その他の適切な対応とコ ミュニケーションを実施するために、どのような統制が整備されているか。
+  What policies, processes and controls are in place to address the impact to the company of a cybersecurity breach at significant/relevant vendors and business partners with whom the company shares sensitive information? Do those policies include risk identification and mitigation procedures?  ・重要/関連性の高いベンダーや,機密情報を共有するビジネス・パートナーにおけるサイバーセキュリティ侵害が会社に与える影響に対処するために,どのような方針,プロセス,統制が整備されているか。それらのポリシーには,リスクの特定と低減の手順が含まれているか。
+  Has the company conducted a cyber event simulation as part of its approach to enterprise risk management? ・エンタープライズリスクマネジメントの一環として,サイバーイベントのシミュレーショ ンを実施したか。
 +  Has the company considered cost mitigation/risk transfer options in the form of cyber insurance coverage in the event of a cybersecurity breach?   ・サイバーセキュリティ侵害が発生した場合に、サイバー保険の適用という形でコスト低減/リスク移転の選択肢を検討したか。
+  Does the company have adequate staff with appropriate skills to design and operate an effective cybersecurity risk management program? ・会社は,効果的なサイバーセキュリティリスクマネジメントプログラムを設計し,運用するための適切なスキルを持つ適切なスタッフを有しているか。
Given the emphasis on materiality, the board may also ask questions such as the following to understand how materiality of a cybersecurity incident is being evaluated: 重要性が重視されていることから、取締役会は、サイバーセキュリティインシデントの重要性がどのように評 価されているかを理解するために、次のような質問をすることもある:
+  How do we validate that the process for determining materiality is sound and thoroughly documented? ・重要性を決定するプロセスが健全であり,十分に文書化されていることをどのように検証するか。
+  Has the company created a method to track related occurrences to see if they qualify as being material? ・会社は,関連する発生を追跡して,それらが重要であると認定されるかどうかを確認する方法を作成したか?
INLINE EXTENSIBLE BUSINESS REPORTING LANGUAGE (XBRL)10 インライン拡張ビジネス報告言語(XBRL)10
All registrants must tag disclosures required under the final rules in Inline XBRL beginning one year after initial compliance with the related disclosure requirement. すべての登録会社は、関連する開示要件の初回遵守から1年後に、最終規則に基づき要求される開示をインラインXBRLでタグ付けしなければならない。
DISCLOSING CYBERSECURITY RISK GOVERNANCE (10-K)12 サイバーセキュリティリスクガバナンスの開示(10-K)12
+ Description of the board’s  oversight of risks from cybersecurity threats and: ・サイバーセキュリティの脅威とリスクに対する取締役会の監督についての説明:
 ·  Identification of any board committee or subcommittee responsible for such oversight (if applicable); and  - サイバーセキュリティの脅威によるリスクに対する取締役会の監視の説明と、そのような監視を担当する取締役会の委員会または分科委員会の特定(該当する場合)。
 ·  Description of the process by which the board (or committee) is informed about such risks.  - 取締役会(または委員会)がそのようなリスクについて報告を受けるプロセスの説明。
+ Management’s role in  assessing and managing material risks from cybersecurity threats.   ・サイバーセキュリティの脅威による重大リスクのアセスメントと管理におけるマネジメントの役割。
Including: 以下を含む:
 ·  Whether and which management positions or committees are responsible for assessing and managing such risks, and the relevant expertise of such persons or members in such detail as necessary to fully describe the nature of the expertise;  - そのようなリスクのアセスメントと管理に責任を負うマネジメントの役職または委員会の有無と、そのような役職または委員会のメンバーの関連する専門知識を、その専門知識の性質を十分に説明するために必要な限り詳細に記載する;
 ·  The processes by which such persons or committees are informed about and monitor the prevention, mitigation, detection, and remediation of cybersecurity incidents; and
 - そのような担当者または委員会が、サイバーセキュリティインシデントの予防、低減、検知、および是正について通知を受け、監視するプロセス。
 ·  Whether such persons or committees report information about such risks to the board of directors or a committee or subcommittee of the board of directors  - そのような担当者または委員会が、そのようなリスクに関する情報を取締役会または取締役会の委員会もしくは小委員会に報告するかどうか。
The above list is not all-inclusive. Registrants should additionally disclose whatever information is necessary, based on their facts and circumstances, for a reasonable investor to understand their cybersecurity processes. 上記のリストはすべてを網羅するものではない。登録者は、合理的な投資家が自社のサイバーセキュリティプロセスを理解するために、自社の事実と状況に基づいて必要な情報を追加的に開示すべきである。
Comparable disclosures are required by foreign private issuers on Form 20-F. 同様の開示は、外国の非公開発行体がフォーム20-Fで要求している。
CPAs CAN HELP! 公認会計士も協力できる!
Start a conversation with your CPA. In addition to being well versed in SEC disclosure, CPAs understand business and financial risk. Cybersecurity is another type of risk that a business must manage, and CPAs are able to put cybersecurity risks in perspective against other business risks that their clients may be facing. CPAs understand the environment in which businesses operate, and can use their knowledge of the client’s industry and local market influences to help offer perspective about how cybersecurity considerations fit with other business risks. In addition to providing insights regarding cybersecurity disclosures, CPAs can assess and report on cybersecurity processes and disclosures. Obtaining any level of assurance by a CPA involves obtaining an understanding of the processes, systems, and data, as appropriate, and then assessing the findings in order to support an opinion or conclusion. Further, CPAs: 公認会計士と話を始めよう。公認会計士はSECの情報開示に精通しているだけでなく、ビジネスリスクや財務リスクを理解している。サイバーセキュリティは、ビジネスがマネジメントしなければならないもう一つのタイプのリスクであり、CPAは、クライアントが直面しているかもしれない他のビジネスリスクと照らし合わせてサイバーセキュリティのリスクを考えることができる。公認会計士はビジネス環境を理解しており、クライアントの業界や地域市場の影響に関する知識を活用して、サイバーセキュリティへの配慮が他のビジネスリスクとどのように適合するかという視点を提供することができる。サイバーセキュリティの開示に関する見識を提供するだけでなく、公認会計士はサイバーセキュリティのプロセスと開示に関する評価と報告も行うことができる。公認会計士がどのようなレベルの保証を取得する場合でも、プロセス、システム、データについて適宜理解を深め、意見または結論を裏付けるために所見を評価することが含まれる。さらに、公認会計士は次のような能力を有している:
+  Have a long history of and are highly experienced at independently gathering evidence to assess internal controls and the reliability and accuracy of data and information that is used to make decisions and is reported externally. ・内部統制や、意思決定に使用され外部に報告されるデータおよび情報の信頼性と正確性を評価するための証拠を独自に収集することに長い歴史があり、その経験も豊富である。

+  Are required by professional standards to plan and perform assurance engagements with professional skepticism. ・専門家として懐疑的に保証業務を計画し,実施することが標準によって要求されている。
+  Are experienced in reporting on compliance with various established standards and frameworks. ・様々な標準やフレームワークへの準拠を報告する経験を有する。
+  Are required to maintain a system of quality control that is designed to provide the CPA firm with confidence that its engagement partners and staff complied with applicable standards and the reports issued by the CPA firm are appropriate. ・公認会計士事務所には、その業務執行社員及びスタッフが適用される基準を遵守し、公認会計士事務所が発行する報告書が適切であるとの確信を提供するように設計された品質管理システムを維持することを求められている。
+  Are required to adhere to continuing professional education, independence, ethics and experience requirements, including specialized training. ・継続的な専門教育、独立性、倫理及び経験(専門教育を含む)の遵守が求められる。
Additional resources その他のリソース
+  Helping Companies Meet the Challenges of Managing Cybersecurity Risk ・サイバーセキュリティリスクマネジメントの課題への企業の対応を支援する。
+ Cybersecurity Risk Management Oversight: A Tool for Board Members ・サイバーセキュリティ・リスクマネジメントの監督: 取締役会メンバーのためのツール
+ SOC for Cybersecurity: Information for organizations ・サイバーセキュリティのためのSOC: 組織のための情報
+ CGMA Cybersecurity Tool ・CGMAのサイバーセキュリティツール
+ AICPA’s Description Criteria for Management’s Description of the Entity’s Cybersecurity Risk Management Program ・事業体のサイバーセキュリティ・リスク管理プログラムに関するマネジメントの説明のための AICPA の説明基準
+ AICPA’s Trust Services Criteria ・AICPA のトラストサービス基準

 

Endnotes
1   Source: https://www.sec.gov/news/press-release/2021-154
2   Source: https://www.sec.gov/rules/final/33-8124.htm Exchange Act Rules 13a-14 and 15d-14 
3   Source: https://www.sec.gov/rules/final/33-8124.htm
4   Source: https://www.sec.gov/rules/final/2023/33-11216.pdf
5   According to the SEC’s discussion of the final amendments , “information is material if ‘there is a substantial likelihood that a reasonable shareholder would  consider it important in making an investment decision, or if it would have ‘significantly altered the ‘total mix’ of information made available.’” Source: SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Final Rule (pg 80)
SECの最終改正に関する議論によると、「合理的な株主が投資判断を行う際に重要視する可能性が相当程度ある場合、または入手可能な情報の "総合的な組み合わせ "を大幅に変更する可能性がある場合、その情報は重要である」とされている。
https://www.sec.gov/rules/final/2023/33-11216.pdf
6   The proposed rule discussion materials noted several cybersecurity incident disclosure requirements adopted by various industry regulators and contractual counterparties and stated that “All of the aforementioned data breach disclosure requirements may cover some of the material incidents that companies would need to report under the proposed amendments, but not all incidents.” Source: SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Proposed Rule (pg 58)
規則案の討議資料では、様々な業界規制当局や契約相手先が採用しているサイバーセキュリティインシデント開示要件がいくつかあることに言及し、"前述のデータ漏洩開示要件はすべて、改正案に基づき企業が報告する必要がある重要なインシデントの一部をカバーする可能性はあるが、すべてのインシデントをカバーするわけではない "と述べている。
https://www.sec.gov/files/rules/proposed/2022/33-11038.pdf
7   Source: SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Final Rule (pg 37) 
SECサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示 提案規則 SECサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示 最終規則
https://www.sec.gov/rules/final/2023/33-11216.pdf
8   Source: https://www.sec.gov/rules/final/2023/33-11216.pdf
9   Source: SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Proposed Rule (pg 8) 
SECサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示規則案
https://www.sec.gov/files/rules/ proposed/2022/33-11038.pdf
10 Source: https://www.sec.gov/rules/final/2023/33-11216.pdf 
11 Cybersecurity Risk Management Oversight: A Tool for Board Members
サイバーセキュリティ・リスクマネジメントの監督: 取締役会メンバーのためのツール
https://thecaqprod.wpengine.com/wp-content/uploads/2019/03/caq_cybersecurity_ risk_management_oversight_tool_2018-04.pdf
Source: https://www.sec.gov/rules/final/2023/33-11216.pdf

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

採択後...

・2023.09.16 米国 カジノホテルグループのシーザーズがサイバー攻撃を受けて8-Kを公表していますね。。。

 

これが採択された段階...

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択



案をだしている段階...

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案

その他...

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.07.11 US-GAOの報告書 サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

 

| | Comments (0)

2023.09.23

個人情報保護委員会 デジタル庁の公金受取口座誤登録事案、富士通 Japanが開発したシステムが複数自治体で申請者以外の証明書を交付した事案について行政上の対応を公表 (2023.09.20)

こんにちは、丸山満彦です。

個人情報保護委員会が、第254回個人情報保護委員会を開催し、デジタル庁の公金受取口座誤登録事案、富士通 Japanが開発したシステムが複数自治体で申請者以外の証明書を交付した事案について行政上の対応を公表していますね。。。

ニュースでは、個人情報保護委員会が、デジタル庁と国税庁に行政指導をしたことが話題になっていたりしますね。。。個人情報保護員会は、行政委員会で、)内閣府設置法49条・64条に基づき設置される内閣府の外局で、国家公務員法3条に基づき内閣に設置されるいわゆる第三条委員会に準じた独立性をもっている組織ですね。。。個人情報保護委員長は、衆参両議院の同意を得て内閣総理大臣が任命することになっています。。。これは個人情報保護委員会の前身の特定個人情報保護委員会の設置を検討するときに、政府機関も含めて監督できるようにしないと国民の信頼も得にくいし、EUを意識しても当然そうすべきだよ、、、という話をしていました。。。

 

1_20230923062201

 

まずは、公金受取口座誤登録事案...

 

個人情報保護委員会

・2023.09.20 公金受取口座誤登録事案に対する特定の個人を識別するための番号の利用等に関する法律及び個人情報の保護に関する法律に基づく行政上の対応について

・[PDF] 公金受取口座誤登録事案に対する特定の個人を識別するための番号の利用等に関する法律及び個人情報の保護に関する法律に基づく行政上の対応について 

20230923-60715

・[PDF] デジタル庁に対する特定の個人を識別するための番号の利用等に関する法律及び個人情報の保護に関する法律に基づく行政上の対応について 

20230923-62407

・[PDF] 国税庁に対する特定の個人を識別するための番号の利用等に関する法律に基づく行政上の対応について 

20230923-62418

 

デジタル庁側の発表...

セキュアバイデザインをちゃんとしますと言っております。。。

 

デジタル庁

・2023.09.20 個人情報保護の更なる強化について

・[PDF] 個人情報保護の更なる強化について

20230923-62610

国税庁は特段発表していませんね。。。

 


 

つぎは、富士通Japanの案件...

・2023.09.20 コンビニ交付サービスにおける住民票等誤交付事案に対する個人情報の保護に関する法律に基づく行政上の対応について

・[PDF] コンビニ交付サービスにおける住民票等誤交付事案に対する個人情報の保護に関する法律に基づく行政上の対応について


20230923-62455

参考

piyolog

富士通JapanのMICJETで相次ぎ発生した証明書誤交付についてまとめてみた

| | Comments (0)

サイバー領域への軍事的適応の課題:オランダの事例研究 (2023.07.13)

こんにちは、丸山満彦です。

Taylor & Francis [wikipedia]という英国の学術書の出版社が扱っている雑誌のいくつかはオンラインで無料で読めるようになっています。。。


そんな中に、「Small Wars & Insurgencies小規模戦争と反乱)」という雑誌があり、「The challenges of military adaptation to the cyber domain: a case study of the Netherlands サイバー領域への軍事的適応の課題:オランダの事例研究)」という論文があったので紹介です。。。

この論文によると、

平時の偵察行為は、情報部門が担い、攻撃(サイバーも含めて)については軍隊が行うことになるが、軍隊に平時における偵察行為が認められていないため、戦時の計画立案のための十分な情報がないのでないか?

ということを課題として認識しているようです。

日本でも新しい安全保障戦略の中で、アクティブサイバーディフェンス(相手のサーバ等を無害化すること)の議論がありますが、その際にも参考になるように思いました。。。

ちなみに、オランダは、

・サイバー司令部の設置は2015年6月。

・国防費を下げ続け(2016年以降上昇しているが、それは定義を変更し、国際協力等も含めたため)、現在はGDPの1%強。

ということのようです。。。

 

Taylor & Francis - Small Wars & Insurgencies

1_20230923052601

・2023.07.13 The challenges of military adaptation to the cyber domain: a case study of the Netherlands

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.28 防衛白書(2023年) (+ 能動的サイバー防衛...)

・2023.07.27 サイバー攻撃を受けた時、国は誰にエスカレーションする? NATO CCDCOE エスカレーション・ロードマップ 分析ペーパー

・2023.07.17 英国 NCSC アクティブ・サイバーディフェンス第6次報告書 (2023.07.06) そういえばNCSCは「アクティブ・サイバーディフェンスは防御であって攻撃ではない」と言ってました...

・2023.06.17 経団連 サイバー安全保障に関する意見交換会を開催

・2023.05.24 米国 国防総合大学 「統合抑止力とサイバー空間 - 国益追求のためのサイバー作戦の役割を探る論文選集」(2023.05.15)

・2023.04.08 自民党 セキュリティ・クリアランスで法整備を経済安保推進本部・安全保障調査会・サイバーセキュリティ対策本部・デジタル社会推進本部が提言

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.03.03 笹川平和財団 「我が国のサイバー安全保障の確保」事業 政策提言 "外国からのディスインフォメーションに備えを! ~サイバー空間の情報操作の脅威~" (2022.02.07)

・2021.12.17 英国 国家サイバー戦略

・2021.04.07 ハックバックを認めるべき?民間企業による積極的サイバー防衛についての記事 ... Oxford Academic, Journal of Cybersecurity: Private active cyber defense and (international) cyber security—pushing the line?

・2021.02.21 U.K. NSCS 2019年能動的サイバー防御についての実績報告書 (Active Cyber Defence (ACD) - The Third Year)

| | Comments (0)

2023.09.22

カーネギーメロン大学 ソフトウェア工学研究所 ソフトウェアコストの見積もりが時間とともに変化する理由と、DevSecOpsデータがコストリスクの低減に役立つ方法

こんにちは、丸山満彦です。

システム開発に不確実性はつきもので、それをうまくコントロールすることで、システム開発プログラムは成功したり、失敗したりするわけですが、、、

まずは、不確実性が伴うものですよ。。。というのは、すべての利害関係者が理解しておくべきことで、それがどの程度あるのか、というのをタイムリーに共有しておくことがいろいろなトラブルを防ぐ上でも重要なのでしょうね。。。

とはいえ、いろいろと背景を背負っているので、頭の中ではわかっていても、言葉や文字に落とせないこともあり、そういうことがトラブルの原因となっているのでしょうね。。。しらんけど。。。

カーネギーメロン大学のソフトウェア工学研究所に次の文書は興味深いですね。。。

 

Carnegie Mellon UniversitySoftware Engineering Institute

・ 2023.09.21 Why Your Software Cost Estimates Change Over Time and How DevSecOps Data Can Help Reduce Cost Risk

 

・[PDF]

20230922-105812

 

Introduction  序文 
Program managers (PMs) must realize that early estimates are likely to be off by over 40 percent and that programs need to continually update estimates as additional information becomes available. It is important to understand how program risks can impact cost estimates. Tracking items—such as the decisions that have not yet been made, stability of the top capabilities needed, and measurements derived from the DevSecOps pipeline—can all help program management offices (PMOs) better understand program uncertainties that can impact estimates and help increase confidence in estimates over time.  プログラムマネージャ(PM)は、初期の見積もりは40%以上外れる可能性があり、追加情報が入手可能になるにつれて、プログラムは継続的に見積もりを更新する必要があることを認識しなければならない。プログラムのリスクがコスト見積もりにどのような影響を与えるかを理解することが重要である。まだ決定されていない事項、必要とされる上位の能力の安定性、DevSecOpsパイプラインから得られる測定値などの追跡項目はすべて、プログラム管理オフィス(PMO)が見積もりに影響を与える可能性のあるプログラムの不確実性をよりよく理解し、時間の経過とともに見積もりの信頼性を高めるのに役立つ。
DoD Program Estimation Background  国防総省のプログラム見積もりの背景 
Department of Defense (DoD) programs are required to perform cost analyses at various stages of the program lifecycle. For Acquisition Category I (ACAT I) programs, an independent cost estimate is required for each milestone review. These estimates must be approved by the director, Cost Assessment and Program Evaluation (DCAPE), and their fidelity should increase at each successive review as program uncertainties resolve over time. New uncertainties may unfold as the program progresses, but in general, overall uncertainty should progressively be reduced.   国防総省(DoD)のプログラムでは、プログラムライフサイクルの様々な段階でコスト分析を行うことが求められている。取得カテゴリーI(ACAT I)プログラムでは、各マイルストーンのレビューにおいて、独立したコスト見積りが要求される。これらの見積もりは、DCAPE(Cost Assessment and Program Evaluation:コスト評価・プログラム評価)ディレクターの承認を得なければならない。プログラムの進行に伴い、新たな不確実性が発生する可能性はあるが、 一般的には、全体的な不確実性は徐々に低減していくはずである。 
When discussing software cost estimates, it is important to remember this quote by Steve McConnell: “The primary purpose of software estimation is not to predict a project’s outcome; it is to determine whether a project’s targets are realistic enough to allow the project to be controlled to meet them.” A project should not be a “random walk;” instead, it should be a walk with a sequence of course corrections. A sound estimate assures that the outcome is achievable with the available time and resources.   ソフトウエアのコスト見積もりについて議論するとき、スティーブ・マッコー ネル(Steve McConnell)の次の言葉を思い出すことが重要である。"ソフトウ ェア見積もりの主な目的は、プロジェクトの結果を予測することではない。プロジェクトは "ランダムウォーク "であってはならない。健全な見積もりは、結果が利用可能な時間と資源で達成可能であることを保証する。 
The cost estimation process typically starts during an analysis of alternatives (AoA), which is performed during the Materiel Solution Analysis phase leading up to Milestone A. An AoA includes a lifecycle cost baseline for each alternative, the lifecycle cost per unit system, and the lifecycle cost per specified quantity of systems. The AoA is typically performed under contract. The program office typically has a cost section staffed by a combination of military, civilian, and contactors. The program office is ultimately responsible for the program office estimate (POE).  AoAには、各代替案のライフサイクルコスト・ベースライン、単位システム当たりのライフサイクルコスト、特定数量のシステム当たりのライフサイクルコストが含まれる。AoA は通常、契約に基づいて実施される。プログラムオフィスには、通常、軍、民間、コンタクターが組み合わされたコストセクションがある。プログラム事務局は、プログラム事務局見積もり(POE)の最終責任を負う。
Design: REV-03.18.2016.0 | Template: 01.26.2023 設計を行う: REV-03.18.2016.0 | テンプレート 01.26.2023
Typically, multiple contractors submit proposals for the Technology Maturation and Risk Reduction phase. Estimates derived from these proposals are often used to further refine the POE.  通常、複数の契約者が技術熟成とリスク低減フェーズに提案書を提出する。これらの提案から得られた見積もりは、POEをさらに精緻化するために使用されることが多い。
All the POEs should follow the guidance from the DoD Cost Estimation Guide  [DoD 2020]. This guide calls for the estimation to account for risk:  すべての POE は、国防総省コスト見積もりガイド[DoD 2020]のガイダンスに従うべきである。このガイドでは、リスクを考慮した見積りを行うよう求めている: 
A risk is a potential future event or condition that may have a negative effect on cost, schedule, and/or performance. An opportunity is a potential future event or condition that may have a positive effect on cost, schedule, and/or performance. Risk/opportunities have three characteristics: a triggering event or condition, the probability that event or condition will occur, and the consequence of the event or condition should it occur. Analysts often use the terms risk and uncertainty interchangeably. In fact, they are distinct from one another. Uncertainty is the indefiniteness of the outcome of a situation. Uncertainty captures the entire range of possible positive and negative outcomes associated with a given value or calculated result. In a cost estimating model, an analyst generally addresses uncertainty first. The analyst then addresses risks/opportunities if and only if the uncertainty assessment has not already captured them.  リスクとは、コスト、スケジュール、および/またはパフォーマンスに悪影響を及ぼす可能性のある、将来の潜在的な事象または状態のことである。リスクとは、コスト、スケジュール及び/又はパフォーマンスにマイナスの影響を及ぼす可能性のある潜在的な将来の事象又は状態である。リスク/機会には3つの特徴がある:引き金となる事象や条件、その事象や条件が発生する確率、万が一発生した場合の結果である。アナリストは、リスクと不確実性という用語をしばしば同じ意味で使用する。実際には、両者は別物である。不確実性とは、ある状況の結果が確定できないことである。不確実性は、所与の値や計算結果に関連する正負の結果の可能性の全範囲を捉える。コスト見積もりモデルでは、分析者は一般的にまず不確実性に対処する。次に、不確実性アセスメントがまだリスク/機会を捕捉していない場合にのみ、リスク/機会に対処する。
Another way to look at risk in cost estimates and the changes in estimates as a program progresses is using a framework called the Cone of Uncertainty. The first use of the actual term Cone of  コスト見積りにおけるリスクと、プログラムの進行に 伴う見積りの変化を見るもう一つの方法は、不確実性コーン と呼ばれるフレームワークを使用することである。コーン・オブ・アン ケラティという実際の用語が初めて使用されたのは、ソフ トウェアの開発者であった。
Uncertainty for software was by Steve McConnell is his book, Software Project Survival Guide [McConnell 1997]. Chris Adams provides a good summary of this concept on the web [Adams 2023]; we discuss this concept in the next section.  Uncertainty (不確実性コーン)という実際の用語をソフトウェアに初めて使用したのは、スティーブ・マコーネル(Steve McConnell)の著書「ソフトウェア・プロジェクト・サバイバル・ガイド」[McConnell 1997]である。クリス・アダムスは、ウェブ上でこの概念の良い要約を提供している[Adams 2023]。
The Cone of Uncertainty Background  不確実性コーンの背景 
The Cone of Uncertainty is a term often used in project management that describes the phenomenon by which project unknowns decrease over time. The Cone of Uncertainty framework is used in software estimation to determine the most likely outcome; Chris Adams describes it as follows [Adams 2023]:  不確実性コーンとは、プロジェクトマネジメントでよく使われる用語で、プロジェクトの未知数が時間とともに減少する現象を表す。不確実性コーンのフレームワークは、最も可能性の高い結果を決定するためにソフトウェアの見積もりで使用される。Chris Adamsはそれを次のように説明している[Adams 2023]: 
As the project proceeds and more research and development is completed the amount of uncertainty decreases, eventually approaching zero. Project unknowns, or uncertainty, largely correlate to variances in project estimates.  Plotting these variances over time creates a cone or funnel shape (variance percentages shown are only examples, values may vary).  プロジェクトが進行し、より多くの研究開発が完了するにつれて、不確実性の量は減少し、最終的にはゼロに近づく。プロジェクトの未知数、つまり不確実性は、プロジェクトの見積もりにおける差異と大きく相関している。 これらのばらつきを経時的にプロットすると、円錐形または漏斗形になる(示されているばらつきのパーセンテージはあくまで例であり、値は異なる場合がある)。
1_20230922110201
Figure: Cone of Uncertainty (This file is made available under the Creative Commons CC0 1.0 Universal Public Domain Dedication File:Cone of Uncertainty.jpg - Wikimedia Commons)  図: 不確実性コーン形(このファイルは、クリエイティブ・コモンズ CC0 1.0 Universal Public Domain Dedication File:Cone of Uncertainty.jpg - Wikimedia Commonsの下で利用可能である。) 
The Cone of Uncertainty and Iterative Development  不確実性コーンと反復開発 
Applying the Cone of Uncertainty to iterative projects is somewhat more involved than applying it to sequential projects.  不確実性コーン」を反復プロジェクトに適用するのは、逐次プロジェクトに適用するよりもやや複雑である。
If you are working on a project that completes a full development cycle in each iteration (i.e., requirements definition through release), then you will go through a miniature cone during each iteration. Before you do the requirements work for the iteration, you will be at the Approved Product Definition part of the cone, which is subject to 4x the variability from high to low estimates.   各反復(すなわち、要件定義からリリースまで)で完全な開発サイクルを完了するプロジェクトに取り組んでいる場合、各反復の間にミニチュアコーンを通過することになる。イテレーションの要件作業を行う前に、あなたは円錐の承認済み製品定義の部分にいることになり、この部分は、高い見積もりから低い見積もりまで、4倍の変動の影響を受ける。 
In short iterations (less than a month), you can move from Approved Product Definition to Requirements Complete and User Interface Design Complete in a few days, which reduces your variability from 4x to 1.6x. If your schedule is fixed, the 1.6x variability applies to the specific features you can deliver in the time available rather than to the effort or schedule.  短いイテレーション(1ヶ月未満)では、数日で承認済み製品定義から要件完了とユーザーインターフェイス設計完了に移行できるため、変動は4倍から1.6倍に減少する。スケジュールが固定されている場合、1.6倍の変動は、労力やスケジュールではなく、利用可能な時間で提供できる特定の機能に適用される。
Although there are many uncertainties that affect predictability, requirements flow down to design and implementation decisions. Approaches that delay a full requirements specification until the beginning of each iteration also delay narrowing the cone of uncertainty—with respect to cost, schedule, and feature delivery—several iterations down the road. It is difficult, after all, to know when your project will be done if you do not at least specify what done looks like. Your program might highly prioritize flexibility, or it might prefer projects with more predictability.  予測可能性に影響する不確定要素はたくさんあるが、要件は設計と実装の決定に流れ込む。各反復の開始まで完全な要求仕様を遅らせるアプローチは、コスト、スケジュール、および機能の提供に関して、不確実性コーンを数回先の反復まで狭めることも遅らせる。結局のところ、少なくとも完了がどのようなものかを特定しなければ、プロジェクトがいつ完了するかを知ることは難しい。あなたのプログラムは、柔軟性を非常に優先するかもしれないし、より予測可能なプロジェクトを好むかもしれない。
Many development teams settle on a middle ground between flexibility and predictability in which a majority of requirements are defined at the front end of the project, but design, construction, test, and release are performed in short iterations. In other words, the project moves sequentially through the User Interface Design Complete milestone about 30% of the calendar time into the project, and then shifts to a more iterative approach from that point forward. This approach drives down the variability from the cone to about ±25 percent, which allows for project control that is good enough to hit targets while still tapping into the major benefits of iterative development.   多くの開発チームは、柔軟性と予測可能性の中間点に落ち着き、プロジェクトのフロントエンドで要件の大部分を定義するが、設計、構築、テスト、リリースは短いイテレーションで実行する。言い換えれば、プロジェクトは、ユーザーインターフェイス設計完了のマイルストーンを、プロジェクト開始の約30%のカレンダータイムで順次通過し、その時点から、より反復的なアプローチに移行する。このアプローチでは、コーンからの変動幅を±25%程度に抑えることができ、反復型開発の主なメリットを活用しながらも、目標を達成するのに十分なプロジェクトコントロールが可能になる。 
Project teams can leave some amount of planned time for as-yet-to-be-determined requirements at the end of the project. Doing that introduces some minor variability related to the feature set, which, in this case, is positive variability because you will exercise it only if you identify new desirable features to implement. This middle ground supports long-range predictability of cost and schedule as well as a moderate amount of requirements flexibility [Construx 2023]. Even when using this method, unless there is a large user-driven change in the capability needed for the project, the requirements volatility should decrease over time.   プロジェクトチームは、プロジェクトの最後に、まだ決定していない要件のために、ある程度の計画時間を残すことができる。そうすることで、機能セットに関する若干の変動性が生じるが、この場合は、実装すべき新しい望ましい機能を特定した場合にのみ行使することになるので、プラスの変動性である。この中間領域は、コストとスケジュールの長期的な予測可能性と、要件の適度な柔軟性をサポートする[Construx 2023]。この方法を使用する場合でも、プロジェクトに必要な能力にユーザー主導の大きな変更がない限り、要件の変動性は時間の経過とともに減少するはずである。 
Risk and Uncertainty  リスクと不確実性 
Glen Alleman stated the following about uncertainty [Alleman 2018]:   グレン・アレマンは不確実性について次のように述べている[Alleman 2018]:  
Uncertainty comes from the lack information to describe a current state or to predict future states, preferred outcomes, or the actions needed to achieve them. This uncertainty can originate from random naturally occurring processes of the program (Aleatory Uncertainty). Or it can originate from the lack of knowledge about the range of future outcomes from the work on the program (Epistemic Uncertainty).  不確実性は、現在の状態を説明したり、将来の状態、望ましい結果、またはそれらを達成するために必要な行動を予測したりするための情報が不足していることから生じる。この不確実性は、プログラムで自然に発生するランダムなプロセス(Aleatory Uncertainty)に由来することがある。あるいは、プログラムの作業から得られる将来の結果の範囲に関する知識の欠如に起因することもある(認識論的不確実性)。
Aleatory uncertainty can be thought of as common cause variation that is natural to the system. Epistemic uncertainty results from an incomplete understanding or characterization (e.g., a lack of understanding the range of natural variation or incomplete requirements). Finally, ontological uncertainty can be thought of as unknown-unknowns. Whereas epistemic uncertainty represents an incomplete understanding of something we know of, an ontological uncertainty appears as a complete surprise. Ontological uncertainty is often a form of special cause variation that was not anticipated or precedented.   Aleatory Unertaintyは、システムにとって自然な共通の原因による変動と考えることができる。認識論的不確実性は、不完全な理解や特徴付け(例えば、自然変動の範囲や不完全な要件の理解不足)から生じる。最後に、存在論的不確実性は、未知の未知と考えることができる。認識論的不確実性が、我々が知っている何かについての不完全な理解を代表するのに対して、存在論的不確実性は、完全な驚きとして現れる。存在論的不確実性は、多くの場合、予期されていなかったり先行していなかったりする特別な原因による変動である。 
Common cause variation cannot be specifically reduced through management action; instead, it requires technical change. However, in Agile development, several approaches are commonly used to reduce epistemic uncertainty (incomplete knowledge). Frequent increments and product demonstrations allow feedback from both the users and the development process. Feedback with an incomplete product allows unforeseen uses, requirements, or component interactions to be discovered. Development spikes are designed to uncover information (e.g., about performance).   一般的な原因によるばらつきは、マネジメントの行動によって特に減らすことはできない。しかし、アジャイル開発では、認識論的不確実性(不完全な知識)を低減するために、いくつかのアプローチが一般的に使用される。頻繁なインクリメントと製品のデモンストレーションは、ユーザーと開発プロセスの両方からのフィードバックを可能にする。不完全な製品でのフィードバックにより、予期しない用途、要件、またはコンポーネントの相互作用が発見される。開発スパイクは、情報(性能など)を発見するために設計される。 
Sequencing work such that important but uncertain features and capabilities start earlier, not only enables using what was learned in refining and developing those capabilities to “buy down” overall uncertainty, but it also reduces the remaining uncertainty later in the program when there is less opportunity to recover. Taking any or all of these actions early in a program can help improve the accuracy of the overall cost estimate and reduce risk exposure.  重要だが不確実な機能や能力をより早い段階から開始するような作業の順序を決めることで、それらの能力を洗練し開発する際に学んだことを使用して、全体的な不確実性を「買い取る」ことができるだけでなく、回復する機会が少ないプログラムの後半に残る不確実性を低減することもできる。プログラムの初期段階で、これらの措置のいずれか、またはす べてを講じることは、全体的なコスト見積もりの精度を改善し、リ スクエクスポージャーを低減するのに役立つ。
The level of risk and cost estimation uncertainty can also be viewed from the perspective of the lifecycle phases of a system’s development. Even in agile development, it is important to understand the top-level capabilities needed at the start of the program. In the Software Acquisition Pathway, these are described in a capability needs statement [DAU 2023]. These capabilities may change based on operational needs, but requirements changes may increase risk and can lead to increased cost if other capabilities are not swapped out.   リスクとコスト見積もりの不確実性のレベルは、システム開 発のライフサイクルフェーズの観点から見ることもできる。アジャイル開発においても、プログラム開始時に必要とされるトップレベルの能力を理解することが重要である。ソフトウェア取得経路では、これらは能力ニーズ記述書[DAU 2023]に記述される。これらの能力は運用上のニーズに基づいて変更される可能性があるが、要件の変更はリスクを増大させる可能性があり、他の能力を入れ替えなければコスト増につながる可能性がある。 
Another important aspect to consider for reducing risk is to focus on the architecture early in the program. Ensuring the architecture is suitable for both the functional and non-functional requirements can help ensure that large-scale architecture changes will not be required later in the program. A facet of DevSecOps that can reduce risk is early integration and automated testing. The earlier you start integrating and testing code, the sooner any issues or defects can be found. This approach can also reduce overall risks and increase the confidence in cost estimates.  リスクを低減するために考慮すべきもう一つの重要な点は、プログラムの早い段階でアーキテクチャーに焦点を当てることである。アーキテクチャーが機能要件と非機能要件の両方に適していることを確認することで、プログラムの後半で大規模なアーキテクチャー変更が必要にならないようにすることができる。リスクを低減できるDevSecOpsの一面は、早期の統合と自動テストである。コードの統合とテストの開始が早ければ早いほど、問題や不具合を早期に発見することができる。このアプローチは、全体的なリスクを低減し、コスト見積もりの信頼性を高めることもできる。
Some areas to consider when determining your estimation uncertainty include  見積もりの不確実性を判断する際に考慮すべき領域には、次のようなものがある。
1. the decisions that have been made (e.g., reuse, computer languages, architecture)  1. 決定したこと(再利用、コンピュータ言語、アーキテクチャなど)。
2. what has been discovered (i.e., known unknowns and unknown unknowns)  2. 発見されたこと(すなわち、既知の未知と未知の未知)。
3. the overall scope and amount of requirements growth  3. 要件の全体的な範囲と増加量 
4. what can be measured to help understand how much uncertainty remains  4. 不確実性がどの程度残っているかを理解するために測定できるもの 
How Metrics from DevSecOps Pipeline Data Can Help Reduce Estimation Risk  DevSecOpsのパイプラインデータから得られるメトリクスは、見積もりリスクの低減にどのように役立つか 
Metrics can help the program management team better understand and estimate program status and risks. Although measurement does not by itself reduce risk, measurement informs decisions that can reduce risk. Some metrics can originate from contract data requirements list (CDRL) deliveries, such as an earned value management (EVM) report or a metrics report. CDRLs typically provide data from the last one or two months. In modern software development, data obtained from the DevSecOps environment can provide real-time, helpful information.   メトリクスは、プログラムマネジメントチームがプログラムのステータスとリスクをよりよく理解し、見積もるのに役立つ。測定自体がリスクを低減するわけではないが、測定はリスクを低減する意思決定に役立つ。メトリクスの中には、アーンド・バリュー・マネジメント(EVM)レポートやメトリックス・レポートなど、契約データ要件リスト(CDRL)から得られるものもある。CDRLは通常、直近1~2ヶ月のデータを提供する。最新のソフトウェア開発では、DevSecOps環境から得られるデータは、リアルタイムの有益な情報を提供することができる。 
A few metrics you can obtain through the pipeline to better understand and reduce estimation uncertainty include the following:  見積もりの不確実性をよりよく理解し、低減するために、パイプラインを通じて取得できるメトリクスには、次のようなものがある: 
1. Completion Rate Volatility: An example of measuring completion rate volatility is measuring changes in sprint velocity to detect uncertainty. If teams properly estimate their sprint velocity and consistently work at the estimated rate, then overall uncertainty can be reduced because you have more confidence that the epistemic uncertainty has been quantified as a common cause variation and special cause (ontological uncertainty) variations can be identified and addressed. Likewise, teams that start with “low hanging fruit” may gain a false sense of confidence unless they recognize that completion rates closely match the actual progress for easier tasks.    1. 完了率のボラティリティ: 完了率のボラティリティを測定する例として、スプリント・ベロシティの変化を測定して不確実性を検知する方法がある。チームがスプリントベロシティを適切に見積もり、一貫して見積もりレートで作業していれば、認識的不確実性が共通原因の変動として定量化され、特別な原因(識別的不確実性)の変動を特定して対処できるという確信が持てるため、全体的な不確実性を低減できる。同様に、「低くぶら下がった果実」から始めるチームは、完了率がより簡単なタスクの実際の進捗と密接に一致していることを認識しない限り、誤った自信感を得る可能性がある。  
2. Capability Development Progress: Your pipeline can provide data on how many capabilities are fully developed, how many are in progress, and how many remain in the backlog. When working in program increments, it is possible for capabilities to remain incomplete and for predecessors to create dependencies in other areas. Understanding how capability development compares to the plan can help reprioritize work so that key capabilities reach completion. This approach can also help you better understand what uncertainty may remain in your estimates.  2. 能力開発の進捗: パイプラインは、いくつの能力が完全に開発され、いくつの能力が進行中で、いくつの能力がバックログに残っているかについてのデータを提供することができる。プログラムインクリメントで作業する場合、ケイパビリティが未完成のままであったり、前任者が他の領域で依存関係を作成したりする可能性がある。ケイパビリティの開発が計画と比較してどうなっているかを理解することは、重要なケイパビリティが完成に達するように作業の優先順位をつけ直すのに役立つ。また、このアプローチは、見積もりにどのような不確実性が残っているかをよりよく理解するのにも役立つ。
3. Software Quality: Your DevSecOps pipeline should include static and dynamic code scanning tools. These tools, along with counts of defects discovered during testing, allow the PMO to better understand aspects of quality that can cause (1) delays in testing, (2) rework, or (3) operational failures. Good quality software not only requires less time to correct errors rather than produce a new product, but it also increases confidence in the estimates’ accuracy and precision.  3. ソフトウェアの品質: DevSecOpsパイプラインには、静的および動的コードスキャンツールを含めるべきである。これらのツールは、テスト中に発見された不具合の数とともに、PMOが(1)テストの遅延、(2)手戻り、(3)運用上の不具合の原因となる品質の側面をよりよく理解することを可能にする。良質なソフトウエアは、新しい製品を生産するよりも、エラーを修正する時間の方が短いだけでなく、見積もりの正確さと精度の信頼性を高める。
4. User Acceptance: One of the main tenets of agile development is user involvement. If users are regularly involved in end-of-sprint and/or end-of-increment demonstrations, then the PMO can gain an early understanding of how users are reacting to the capabilities being developed. If the user reaction is positive and the number of changes requested is in line with the estimated work, then this can also increase confidence in the initial estimate. On the other hand, unplanned rework can result in additional costs and delays, unless other work is removed to allow the new work requested by the user to take priority within the schedule and budget.   4. ユーザー受容: アジャイル開発の主な考え方の1つは、ユーザーの参加である。ユーザが定期的にスプリント終了時やインプリメント終了時のデモに参加すれば、PMOは開発中の機能に対するユーザの反応を早期に理解することができる。ユーザーの反応が肯定的で、要求された変更の数が見積もり作業と一致している場合、これは初期見積もりの信頼性を高めることにもなる。一方、ユーザーから要求された新しい作業がスケジュールと予算内で優先されるように、他の作業が削除されない限り、計画外の手戻りは追加コストと遅延をもたらす可能性がある。 
5. Organization and Staffing: Using data from tools such as Confluence and Jira, a PMO should be able to see the development organizational structure and the number of people on each team to help understand if the project is fully staffed. Changes can also be tracked to understand staffing volatility. Staffing volatility, in turn, leads to a need to recalibrate team velocity estimates, thus increasing uncertainty until new baseline data is available. If the project is fully staffed with an organizational structure that supports it, then this can reduce estimation risks. If the project is slow to staff up or never reaches the full staffing profile, the estimate must be adjusted to reflect this.  5. 組織と人員配置: ConfluenceやJiraのようなツールのデータを使って、PMOは開発組織構造と各チームの人数を見ることができ、プロジェクトに十分な人員が配置されているかどうかを理解することができる。また、変更を追跡することで、人員配置の変動を把握することもできる。人員配置の変動は、チームベロシティの見積もりを再調整する必要性につながり、新しいベースラインデータが利用可能になるまで、不確実性を増大させる。もし、プロジェクトに十分な人員が配置され、それをサポートする組織体制が整っていれば、見積もりリスクを低減することができる。もし、プロジェクトの人員配置が遅かったり、完全な人員配置に達しなかったりする場合は、それを反映するように見積もりを調整しなければならない。
More information about using data from the DevSecOps pipeline is available in the white paper Program Managers—The DevSecOps Pipeline Can Provide Actionable Data [Cohen 2023].  DevSecOpsパイプラインからのデータの使用に関する詳細は、ホワイトペーパー「Program Managers-The DevSecOps Pipeline Can Provide Actionable Data」[Cohen 2023]に掲載されている。
The Bottom Line  結論 
The primary takeaway from this paper is that early estimates are likely to be off by over 40 percent, and programs need to continually update estimates as additional information is available. Tracking items, such as what decisions have not yet been made, the stability of the top capabilities needed, and measurements derived from the DevSecOps pipeline, can all help the PMO better understand program uncertainties that impact estimates and help increase the confidence in estimates over time.  この論文から得られる主な教訓は、初期の見積もりは40%以上外れる可能性が高く、プログラムは追加情報が入手可能になるにつれて継続的に見積もりを更新する必要があるということである。どのような決定がまだなされていないか、必要とされる上位の能力の安定性、DevSecOpsパイプラインから得られる測定値などの項目を追跡することは、PMOが見積もりに影響を与えるプログラムの不確実性をよりよく理解し、時間の経過とともに見積もりの信頼性を高めるのに役立つ。

 

 

 

 

| | Comments (0)

中国 第1回|中国サイバーセキュリティ産業分析レポート(2023年)

こんにちは、丸山満彦です。

中国のサイバーセキュリティ産業アライアンスが、サイバーセキュリティ産業についての分析レポート第一回を公表していますね。。。

サイバーセキュリティ市場規模は約633億元(1.28兆円)。前年比増3.1%。成長は落ち着いてきているけど、今後は10%の成長が予想され、2025年には800億元(1.6兆円)の想定とのこと。。。(1元=約20円)

ちなみに、総務省が引用しているCanalys社の推計(総務省の情報通信白書令和5年版1. 世界のサイバーセキュリティ市場規模(売上高)の推移 | 白書掲載番号(4-10-1-1))では、2022年の

世界のサイバーセキュリティ市場の規模は、711億ドル(約105兆円)。

同じ調査会社が調べているわけではないので、推計の根拠が違うので比較しにくいですね。。。

 

中国网络安全产业联盟

・2023.09.18 首发 | 《中国网络安全产业分析报告(2023年)》(附完整版PPT)

 

首发 | 《中国网络安全产业分析报告(2023年)》(附完整版PPT) 第1回|中国サイバーセキュリティ産業分析レポート(2023年)(フルPPT付)
2023年9月16日,2023年国家网络安全宣传周“网络安全服务产业发展分论坛”在福州召开。论坛上,中国电子技术标准化研究院副院长刘贤刚介绍《中国网络安全产业分析报告(2023年)》。 2023年9月16日、2023年全国サイバーセキュリティ啓発週間「サイバーセキュリティサービス産業発展小フォーラム」が福州で開催された。 フォーラムでは、中国電子技術標準化研究院(CETSI)の劉祥剛副院長が「中国サイバーセキュリティ産業分析報告(2023年)」を紹介した。
中国网络安全产业联盟(CCIA)依托行业力量,连续六年联合国内知名网络安全研究机构数说安全,调研国内近300家网络安全企业,追踪产业热点,刻画产业图景、研判发展趋势,完成《中国网络安全产业分析报告(2023年)》(以下简称“《报告》”)。《报告》坚持发展思维,尊重产业发展客观规律,以科学、严谨、中立的视角,深入剖析我国网络安全产业面临的国内外形势,以数据为基础,以企业为核心,从政策、技术、服务、资本、市场等多个方面,对网络安全法律法规、政策标准、产业现状、竞争格局、资本市场和发展热点等进行了全面详实的分析。在此基础上,对我国网络安全产业未来数年的发展进行了展望,希望能够为网络安全政策制定部门、监管机构、从业人员、行业组织、研究机构等提供参考。 中国サイバーセキュリティ産業連盟(CCIA)は、6年連続で中国の有名なネットワークセキュリティ研究機関と協力し、国内のネットワークセキュリティ企業300社近くを調査し、産業のホットスポットを追跡し、産業景観を描き、開発動向を研究し、「中国サイバーセキュリティ産業分析報告書(2023年)」(以下、「報告書」という。) "). 本報告書は、開発思考を堅持し、産業発展の客観的法則を尊重し、科学的、厳密かつ中立的な視点から、中国のサイバーセキュリティ産業が直面する国内外の状況を分析し、データに基づき、企業を核心として、政策、技術、サービス、資本、市場など様々な観点から、サイバーセキュリティに関する法規制、政策、標準、産業の現状、競争環境、資本市場、発展のホットスポットについて、包括的かつ詳細に分析している。 包括的かつ詳細な分析を行っている。 その上で、今後数年間の中国のサイバーセキュリティ産業の発展を展望し、サイバーセキュリティ政策立案部門、規制当局、実務者、業界団体、研究機関などに参考となることを期待している。
核心发现 核心的所見
2022年,我国网络安全市场规模约为633亿元,同比增长3.1%,增长态势延续,增长率稳中趋缓。随着疫情平稳转段、网络安全相关政策法规和标准规范相继落地、网络安全治理日臻完善、网络安全技术加快迭代升级等正向激励效能显现,网络安全企业数量有所增长,网络安全市场需求持续扩大。预计未来三年产业增速将保持在10%以上,到2025年市场规模预计将超过800亿元。 2022年、中国のサイバーセキュリティ市場規模は約633億元、前年比3.1%増、成長トレンドの継続、成長率は安定し、減速している。 流行のスムーズな移行に伴い、ネットワークセキュリティ関連の政策、規制、標準や規範が次々と上陸し、ネットワークセキュリティガバナンスが改善され、ネットワークセキュリティ技術の反復的なアップグレードをスピードアップし、効果への他の肯定的なインセンティブは、ネットワークセキュリティ企業の数が増加しており、ネットワークセキュリティ市場の需要は拡大を続けている。 今後3年間の業界の成長率は10%以上を維持し、市場規模は2025年までに800億元を超えると予想される。
当前,全球经济进入下行通道,政府财力和企业利润空间进一步压缩,导致其对网络安全投入减少,网络安全市场需求萎靡,这削弱了网络安全企业盈利能力。国内主要网络安全企业迎难而上,以积极心态迎接市场挑战,不断加大研发和销售投入,新技术、新应用、新业务不断涌现。同时,数字经济发展进入快车道,开辟了更多网络安全产业“新赛道”,应用场景安全需求、新基建安全需求、新技术安全需求释放,为网络安全产业加速发展注入了新动力。 現在、世界経済は下降チャンネルに入り、政府の財政力と企業の利潤率がさらに圧縮され、ネットワークセキュリティへの投資が減少し、ネットワークセキュリティ市場の需要が衰え、ネットワークセキュリティ企業の収益性が弱まっている。 国内の主要なサイバーセキュリティ企業はこの難局に立ち向かい、前向きな姿勢で市場の課題に対応し、研究開発と販売への投資を継続的に増加させ、新技術、新アプリケーション、新ビジネスが続々と登場している。 同時に、デジタル経済の発展が高速車線に入り、ネットワーク・セキュリティ産業の「新路線」がさらに開拓され、アプリケーション・シナリオ・セキュリティ需要、新しいインフラ・セキュリティ需要、新技術セキュリティ需要が解放され、ネットワーク・セキュリティ産業の加速的発展の新たな原動力となっている。
国内对网络安全的重视程度、项目投入和客户分布呈现出一致性,经济发展状况与网络安全市场分布具有高度相关性。华北、华东和华南仍是网络安全投入高、客户分布相对集中的区域。2022年,网络安全企业在以上三个区域的合计收入占比达到71%。同时,网络安全企业积极响应共建“一带一路”倡议,加快探索海外市场。领军企业海外业务发展良好,创新型企业积极尝试突破,并取得一定成绩,海外市场占比小幅提升,预计未来海外市场将成为我国网络安全企业新的业务增长点。 国内のネットワークセキュリティ重視、プロジェクト投資、顧客分布は一貫しており、経済発展状況はネットワークセキュリティ市場の分布と高い相関関係がある。 華北、華東、華南は依然としてサイバーセキュリティへの投資が多く、顧客分布が比較的集中している地域である。2022年には、上記3地域のサイバーセキュリティ企業の売上高シェアを合計すると71%に達する。 同時に、ネットワークセキュリティ企業は「一帯一路」イニシアティブの建設に積極的に対応し、海外市場の開拓を加速している。 大手企業の海外事業展開が順調で、革新的な企業が積極的に突破を図り、一定の成果を収め、海外市場の割合がやや増加し、今後、海外市場が中国のサイバーセキュリティ企業の新たな事業成長ポイントになると予想される。
2022年以来,三未信安、亚信安全、浩瀚深度、永信至诚、盛邦安全相继登录科创板。2022年,网络安全行业投融并事件共有124起,融资额为67.8亿元,同比有所回落。投资机构对于成长期和中后期网络安全项目的投资更趋谨慎,早期项目获投数量增长较快。随着注册制改革加速及北交所开市,网络安全投资退出通道进一步丰富,将对网络安全投资产生正向激励。 2022年以降、三維新安、亜新安全、広大深度、永信之正、盛邦安全が相次いでKTBに登載された。2022年、サイバーセキュリティ業界の投融資イベントは124件、融資額は67.8億元で、前年比減少した。 投資機関は成長段階や中・後期段階のサイバーセキュリティ・プロジェクトへの投資に慎重になっており、投資される初期段階のプロジェクト数はより早く増加している。 登録制度改革の加速と北証券取引所の開放により、サイバーセキュリティ投資の出口チャネルはさらに充実し、サイバーセキュリティ投資にプラスのインセンティブが生まれる。
2023年,网络安全产业涌现10个发展热点,分别是生成式人工智能、人工智能对抗攻防技术、量子安全技术、云原生安全、网络安全保险服务、安全审计和合规性服务、网络安全防护有效性验证服务、云密码服务、数据安全治理,以及软件供应链安全治理。 2023年、サイバーセキュリティ産業では、生成的人工知能、人工知能による攻撃・防御技術、量子セキュリティ技術、クラウドネイティブセキュリティ、サイバーセキュリティ保険サービス、セキュリティ監査・コンプライアンスサービス、サイバーセキュリティ保護効果検証サービス、クラウド暗号サービス、データセキュリティガバナンス、ソフトウェアサプライチェーンセキュリティガバナンスという10の発展ホットスポットが出現した。
网络安全产业服务化发展趋势更加凸显。2023年上半年,服务型企业数量同比增长32.5%,成为网络安全市场扩容的主要力量。行业领军企业正在向“产品 服务”综合解决方案提供商转变,用户企业愈发看重网络安全服务的有效性、持续性和体系化,网络安全运营、安全审计和合规性服务、云密码服务等网络安全服务的重要性更加凸显。 2023年上半期には、サービス型企業の数が前年同期比で32.5%増加し、サイバーセキュリティ市場の拡大に大きな力となった。 業界大手は「製品とサービス」の総合ソリューションプロバイダーへと変貌を遂げ、ユーザー企業はネットワークセキュリティサービスの有効性、継続性、体系性をますます重視するようになり、ネットワークセキュリティ運用、セキュリティ監査・コンプライアンスサービス、クラウド暗号サービスなどのネットワークセキュリティサービスの重要性がより顕著になっている。

 

ファイルのダウンロードの仕方がわかりません。。。

20230922-101702

 

| | Comments (0)

ロシア 中国 モンゴル による安全保障協議 at モスクワ

こんにちは、丸山満彦です。

ニューヨークでは第78回国連総会国際連合広報センター:第78回総会のページ)が行われ、19日から一般討論が行われていますが、、、

モスクワでは、ロシア、中国、モンゴルの3カ国がモスクワで安全保障協議をしたようですね。。。

ロシアは、ニコライ・パトルシェフ・ロシアさん(安全保障会議書記)

中国は、王毅さん。(共産党中央委員会政治局委員、外交委員会弁公室主任、中華人民共和国外交部長)

モンゴルは、チャダムビン・エンクバヤルさん(国家安全保障会議書記)

が出席したようですね。。。

  • 地域の安全保障問題について詳細な意見交換
  • 広範な共同関心事項に関する三国間協力の展望についての議論
  • 国際舞台や多国間形式におけるロシア、モンゴル、中国の協力に関する検討

が行われたようです。。。

 

ロシア...

Совет Безопасности Российской Федерации

・2023.09.19 В Москве состоялись трёхсторонние консультации по безопасности в формате: Россия, Китай, Монголия

 

中国...

● 外交部

・2023.09.20 中俄蒙举行安全事务高级代表会晤

・2023.09.19 中俄举行第十八轮战略安全磋商

モンゴルと...

・2023.09.20 王毅会见蒙古国家安全委员会秘书长恩赫巴亚尔

ロシアと...

・2023.09.19 王毅会见俄罗斯外长拉夫罗夫

 

 

1_20230922070001

 


 

<2023.09.26 追記>

まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.26 第78回 国連総会 トップ等の発言...

 

 

| | Comments (0)

NIST SP 800-188 政府データセットの非識別化 (2023.09.14)

こんにちは、丸山満彦です。

NISTが、SP 800-188(政府データセットの非識別化を公表していますね。ドラフト第2版から、6年の時を経て、昨年の11月に第三ドラフトが公開され、今回確定しましたね。。。

差分プライバシーは今後ということで、非識別の話が中心です。。。

 

NIST - ITL

・2023.09.14 De-Identifying Government Datasets: Techniques and Governance | NIST Publishes SP 800-188

De-Identifying Government Datasets: Techniques and Governance | NIST Publishes SP 800-188 政府データセットの非識別化: 技術とガバナンス|NIST、SP 800-188を発表
NIST has published Special Publication (SP) 800-188, De-Identifying Government Datasets: Techniques and Governance. NISTは特別刊行物(SP)800-188「政府データセットの非識別化: 技術とガバナンス」を発行した。
De-identification removes identifying information from a data set so that the remaining data cannot be linked to specific individuals. Government agencies can use de-identification to reduce the privacy risks associated with collecting, processing, archiving, distributing, or publishing government data. Previously, NIST published NIST Internal Report (IR) 8053, De-Identification of Personal Information, which provided a survey of de-identification and re-identification techniques. SP 800-188 provides specific guidance to government agencies that wish to use de-identification. 非識別化は、データセットから識別情報を削除し、残りのデータが特定の個人にリンクできないようにするものである。政府機関は、政府データの収集、処理、保管、配布、公表に関連するプライバシ ー・リスクを軽減するために、非識別化を使用することができる。以前、NIST は NIST 内部報告書(IR)8053「個人情報の非識別化(De-Identification of Personal Information)」を発行し、非識別化および再識別化技術のサーベイを提供した。SP 800-188は、非識別化の利用を希望する政府機関に具体的なガイダンスを提供する。
This final document was authored by experts at NIST and the U.S. Census Bureau and references up-to-date research and practices for both traditional de-identification approaches as well as the use of formal privacy methods, such as differential privacy to create de-identified datasets. This document also addresses other approaches for making datasets that contain sensitive information available to researchers and for public transparency. Where appropriate, this document cautions users about the inherent limitations of traditional de-identification approaches when compared to formal privacy methods, such as differential privacy. この最終文書は、NISTと米国国勢調査局の専門家によって作成され、従来の非識別化アプローチと、非識別化データセットを作成するための差分プライバシーなどの正式なプライバシー手法の両方について、最新の研究と実践を参照している。この文書では、機密情報を含むデータセットを研究者に提供し、一般に公開するための他のアプローチも取り上げている。適切な場合、本文書は、差分プライバシーなどの正式なプライバシ ー手法と比較した場合の、従来の非識別化アプローチ固有の限界について利用者に注意を促す。

 

 

・2023.09.14 NIST SP 800-188 De-Identifying Government Datasets: Techniques and Governance

NIST SP 800-188 De-Identifying Government Datasets: Techniques and Governance NIST SP 800-188 De-Identifying Government Datasets: 技術とガバナンス
Abstract 概要
De-identification is a general term for any process of removing the association between a set of identifying data and the data subject. This document describes the use of deidentification with the goal of preventing or limiting disclosure risks to individuals and establishments while still allowing for the production of meaningful statistical analysis. Government agencies can use de-identification to reduce the privacy risk associated with collecting, processing, archiving, distributing, or publishing government data. Previously, NIST IR 8053, "De-Identification of Personal Information," provided a detailed survey of deidentification and re-identification techniques. This document provides specific guidance to government agencies that wish to use de-identification. Before using de-identification, agencies should evaluate their goals for using de-identification and the potential risks that releasing de-identified data might create. Agencies should decide upon a data-sharing model, such as publishing de-identified data, publishing synthetic data based on identified data, providing a query interface that incorporates de-identification, or sharing data in non-public protected enclaves. Agencies can create a Disclosure Review Board to oversee the process of de-identification. They can also adopt a de-identification standard with measurable performance levels and perform re-identification studies to gauge the risk associated with de-identification. Several specific techniques for de-identification are available, including de-identification by removing identifiers, transforming quasi-identifiers, and generating synthetic data using models. People who perform de-identification generally use special-purpose software tools to perform the data manipulation and calculate the likely risk of re-identification. However, not all tools that merely mask personal information provide sufficient functionality for performing de-identification. This document also includes an extensive list of references, a glossary, and a list of specific de-identification tools, which is only included to convey the range of tools currently available and is not intended to imply a recommendation or endorsement by NIST. 非識別化(De-identification)とは、一連の識別データとデータ主体との関連性を除去するあらゆる プロセスの総称である。本文書は、個人および事業所に対する開示リスクを防止または制限する一方で、意味のある統計 分析を可能にすることを目的とした非識別化の使用について説明する。ガバナンスは、政府データの収集、処理、保管、配布、または公表に関連するプライバシー・リスクを低減するために非識別化を使用することができる。以前、NIST IR 8053「個人情報の非識別化(De-Identification of Personal Information)」は、非識別化および再識別化技術の詳細なサーベイを提供した。本文書は、非識別化の使用を希望する政府機関に具体的なガイダンスを提供する。非識別化を使用する前に、政府機関は非識別化を使用する目的と、非識別化されたデータを公開することで生じる可能性のあるリスクを評価する必要がある。機関は、非識別化データの公開、識別されたデータに基づく合成データの公開、非識別化を組み込んだクエリ・インターフェースの提供、非公開の保護されたエンクレーブでのデータ共有など、データ共有モデルを決定する必要がある。各機関は、非識別化のプロセスを監督するために、情報開示審査委員会(Disclosure Review Board)を設置することができる。また、測定可能なパフォーマンス・レベルを持つ非識別化標準を採用し、非識別化に関連するリスクを測定するために再識別化調査を実施することもできる。識別子の除去による非識別化、準識別子の変換、モデルを使用した合成データの生成など、非識別化のためのいくつかの具体的な技術が利用可能である。非識別化を実行する人々は、一般に、データ操作を実行し、再識別化の可能性の高いリスクを計算するために、特別な目的のソフトウェア・ツールを使用する。しかし、個人情報をマスキングするだけのツールのすべてが、非識別化の実行に十分な機能を提供するわけではない。本文書には、広範な参考文献のリスト、用語集、および特定の非識別化ツールのリストも含まれているが、これは現在利用可能なツールの範囲を伝えるために含まれているに過ぎず、NISTによる推奨または推奨を意味するものではない。

 

・[PDF] NIST.SP.800-188

20230922-60430

 

エグゼクティブサマリー...

Executive Summary  要旨 
Every federal agency creates and maintains internal datasets that are vital for fulflling its mission. The Foundation for Evidence-based Policymaking Act of 2018 [2] and its Phase 1 implementation memorandum M-19-23 [168] mandate that agencies also collect and publish their government data in open, machine-readable formats when it is appropriate to do so. Agencies can use de-identifcation to make government datasets available while protecting the privacy of the individuals whose data are contained within those datasets.  すべての連邦政府機関は、その使命を果たすために不可欠な内部データセットを作成し、維持している。2018年のFoundation for Evidence-based Policymaking Act [2]とそのフェーズ1実施覚書M-19-23 [168]は、政府データも収集し、そうすることが適切な場合には、オープンで機械可読なフォーマットで公開することを義務付けている。政府は、データセットに含まれる個人のプライバシーを保護しつつ、政府データセットを利用可能にするために、個人識別の解除を利用することができる。
The U.S. Government defnes personally identifable information (PII) as “information that can be used to distinguish or trace an individual’s identity, either alone or when combined with other information that is linked or linkable to a specifc individual.”[4]  米国政府は、個人を特定できる情報(PII)を「単独で、または特定の個人に結びついたり結びつけたりできる他の情報と組み合わされた場合に、個人の身元を識別したり追跡したりするために使用できる情報」と定義している[4]。
For decades, de-identifcation based on simply removing identifying information was thought to be suffcient to prevent the re-identifcation of individuals in large datasets. Since the mid 1990s, a growing body of research has demonstrated the reverse, resulting in new pri- vacy attacks that are capable of re-identifying individuals in “de-identifed” data releases. For several years, the goals of such attacks appeared to be embarrassing the publishing agency and achieving academic distinction for the privacy researcher [65]. More recently, as high-resolution de-identifed geolocation data have become commercially available, re- identifcation techniques have been used by journalists, activists, and malicious actors [130, 170, 90] to learn information about individuals that was intended to be kept confdential. These attacks highlight the defciencies in traditional approaches to de-identifcation.  何十年もの間、単に識別情報を除去することに基づく非識別化は、大規模なデータセッ トにおける個人の再識別化を防止するのに十分であると考えられていた。1990年代半ば以降、その逆を実証する研究が増え、その結果、「非識別化」されたデータ公開の個人を再識別することができる新たなプライバシ攻撃が生まれた。数年間、このような攻撃の目的は、出版機関を困惑させ、プライバシー研究者の学術的な名誉を獲得することであったようだ[65]。より最近では、高解像度の非識別化されたジオロケーションデータが商業的に利用できるようになったため、再識別化技術がジャーナリスト、活動家、悪意のある行為者[130, 170, 90]によって利用され、秘密にしておくつもりだった個人に関する情報を知るようになっている。このような攻撃は、従来の非識別化アプローチの欠陥を浮き彫りにしている。
Formal models of privacy, like k-anonymity [151] and differential privacy [52], use mathe- matically rigorous approaches that are designed to allow for the controlled use of confden- tial data while minimizing the privacy loss suffered by the data subjects.1 Because there is an inherent trade-off between the accuracy of published data and the amount of privacy protection afforded to data subjects, most formal methods have some kind of parameter that can be adjusted to control the “privacy cost” of a particular data release. Informally, a data release with a low privacy cost causes little additional privacy risk to the participants, while a higher privacy cost results in more privacy risk. When they are available and have suffcient functionality for the task at hand, formal privacy methods should be preferred over informal ad hoc methods.  k-匿名性[151]や差分プライバシー[52]のようなプライバシーの形式的モデルは、データ主体が被るプライバシー損失を最小限に抑えながら、秘匿データの制御された使用を可能にするように設計された、数学的に厳密なアプローチを使用している。非公式には、プライバシーコストが低いデータ公開は参加者にプライバシーリスクをほとんど与えないが、プライバシーコストが高い場合はプライバシーリスクが高くなる。それらが利用可能で、手元のタスクに十分な機能を持つ場合、正式なプライバシー手法は、非公式なアドホック手法よりも優先されるべきである。
Decisions and practices regarding the de-identifcation and release of government data can be integral to the mission and proper functioning of a government agency. As such, an agency’s leadership should manage these activities in a way that ensures performance and  政府データの非識別化と公開に関する決定と機能は、政府機関の使命と適切な機能にとって 不可欠な場合がある。そのため、政府機関の指導者は、政府機関のパフォーマンスと結果を保証する方法で、これらの活動を管理する必要がある。
results in a manner that is consistent with the agency’s mission and legal authority. One way that agencies can manage this risk is by creating a formal Disclosure Review Board (DRB) that consists of legal and technical privacy experts, stakeholders within the organization, and representatives of the organization’s leadership. The DRB evaluates applications for data release that describe the confdential data, the techniques that will be used to minimize the risk of disclosure, the resulting protected data, and how the effectiveness of those tech- niques will be evaluated. The DRB’s work complements other parts of the organization, such as the Chief Information Security Offcer (CISO), who is responsible for technical controls, as well as the parts of the organization responsible for adopting administrative or organizational controls and written data-sharing agreements.  このようなリスクを管理するための一つの方法として、政府機関はこのようなリスク を管理することができる。政府機関がこのリスクをマネジメントする一つの方法は、法的および技術的なプライバシーの専門家、組織内の利害関係者、および組織のリーダーシップの代表者で構成される正式な情報開示審査委員会(Disclosure Review Board:DRB)を設置することである。DRBは、機密データ、開示リスクを最小化するために使用される技術、結果として得られる保護データ、およびそれらの技術の有効性がどのように評価されるかを記述したデータ公開申請書を評価する。DRBの活動は、技術的管理を担当する最高情報セキュリティ責任者(CISO)や、管理的または組織的管理や書面によるデータ共有契約の採用を担当する組織の他の部分を補完するものである。
Establishing a DRB may seem like an expensive and complicated administrative under- taking for some agencies. However, a properly constituted DRB and the development of consistent procedures regarding data release should enable agencies to lower the risks as- sociated with each data release, which is likely to save agency resources in the long term. Agencies can create or adopt standards to guide those performing de-identifcation and re- garding the accuracy of de-identifed data. If accuracy goals exist, then techniques such as differential privacy can be used to make the data suffciently accurate for the intended purpose but not unnecessarily more accurate, which can limit the amount of privacy loss. However, agencies must carefully choose and implement accuracy requirements. If data accuracy and privacy goals cannot be well-maintained, then releases of data that are not suffciently accurate can result in incorrect scientifc conclusions and policy decisions.  DRBを設立するのは、高価で複雑な管理作業に思える機関もあるかもしれない。しかし、適切に構成されたDRBとデータ公開に関する一貫した手順の開発により、各機関は各データ公開に伴うリスクを下げることができ、長期的には機関のリソースを節約できる可能性が高い。各機関は、非識別化の実施者および非識別化されたデータの正確性を再保持するための指針 となる標準を作成または採用することができる。精度の目標が存在する場合、差分プライバシーのような技法を使用することで、意図した目的には十分な精度を持つが、不必要に精度を上げないデータにすることができ、プライバシーの損失量を抑えることができる。しかし、機関は精度の要件を慎重に選択し、実施しなければならない。データの正確性とプライバシーの目標が十分に維持できない場合、十分に正確でないデータを公表することで、誤った科学的結論や政策決定がなされる可能性がある。
Agencies should consider performing de-identifcation with trained individuals using soft- ware specifcally designed for that purpose. While it is possible to perform de-identifcation with off-the-shelf software like a commercial spreadsheet or fnancial planning program, such programs typically lack the key functions required for sophisticated de-identifcation. As a result, they may encourage the use of simplistic de-identifcation methods, such as deleting columns that contain sensitive data categories and manually searching and removing individual data cells that appear sensitive.2 This may result in a dataset that appears de-identifed but still contains signifcant disclosure risks.  機関は、その目的のために特別に設計されたソフトウエアを使用し、訓練を受けた個人によって個人識別の解除を行うことを検討すべきである。市販の表計算ソフトや財務計画プログラムのような既製のソフトウェアで個人識別の 解除を実行することは可能であるが、そのようなプログラムには通常、高度な個人識別の 解除に必要な主要機能が欠けている。その結果、機密性の高いデータ・カテゴリーを含む列を削除したり、機密性が高いと思われる個々のデータ・セルを手作業で検索して削除したりするような、単純化された非識別化手法の使用が助長される可能性がある2 。
Finally, different countries have different standards and policies regarding the defnition and use of de-identifed data. Information that is regarded as de-identifed in one jurisdiction may be regarded as being identifable in another. This may be especially relevant in the case of international scientifc collaborations and illustrates the need for agencies that perform de-identifcation to create mechanisms for data scientists, attorneys, and policymakers to coordinate on these topics.  最後に、国によって非識別化データの定義と使用に関する標準や方針が異なる。ある法域では非識別化とみなされる情報が、別の法域では識別可能とみなされる場合がある。このことは、国際的な科学共同研究の場合に特に関連する可能性があり、データ科学者、弁護士、政策立案者がこのようなトピックについて協調するための仕組みを、非識別化を実施する機関が構築する必要性を示している。
1. While k-anonymity and differential privacy are both mathematically rigorous formal models, k-anonymity is a privacy framework based on the content of the published data, while differential privacy places bounds on the amount of information that can be learned about the confdential data from the published data.  1. k-匿名性と差分プライバシーはどちらも数学的に厳密な形式モデルであるが、k-匿名性は公開データの内容に基づくプライバシーの枠組みであり、差分プライバシーは公開データから機密データについて知ることができる情報量に境界を設けるものである。
2. For information on characterizing the sensitivity of information, see NIST SP 800-60 Volume I, Revision 1 [147].  2. 情報の機密性の特徴については、NIST SP 800-60 Volume I, Revision 1 [147]を参照のこと。

 

[2] 115th Congress (2017–2018). Public Law 115-435: The Foundations for Evidence- Based Policymaking Act of 2018. 2018. URL: https://www.congress.gov/bill/115th- congress/house-bill/4174. 第115議会(2017-2018年)。公法115-435: The Foundations for Evidence- Based Policymaking Act of 2018. 2018. URL: https://www.congress.gov/bill/115th- congress/house-bill/4174.
[4] 81 FR 49689: Revision of OMB Circular No. A-130, “Managing Information as a Strategic Resource. July 28, 2016. URL: https://www.cio.gov/policies-and- priorities/circular-a-130/. 81 FR 49689: OMB Circular No.A-130「戦略的資源としての情報の管理」の改訂。2016年7月28日。URL: https://www.cio.gov/policies-and- priorities/circular-a-130/.
[52] Cynthia Dwork et al. “Calibrating Noise to Sensitivity in Private Data Analysis”. In: Theory of Cryptography. Ed. by Shai Halevi and Tal Rabin. Berlin, Heidelberg: Springer Berlin Heidelberg, 2006, pp. 265–284. ISBN: 978-3-540-32732-5.  Cynthia Dwork et al. "Calibrating Noise to Sensitivity in Private Data Analysis". In: Theory of Cryptography. Shai Halevi and Tal Rabin. ベルリン、ハイデルベルク: Springer Berlin Heidelberg, 2006, pp.265-284. ISBN: 978-3-540-32732-5. 
[65] Simson Garfnkel. De-Identifcation of Personally Identifable Information. Tech. rep. NIST IR 8053. National Institute of Science and Technology, Nov. 2015. URL: http://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8053.pdf. Simson Garfnkel. 個人を特定できる情報の非識別化。技術報告書。NIST IR 8053. 国立科学技術研究所、2015年11月。URL: http://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8053.pdf.
[90] Leah Krehling. De-Identifcation Guideline. Tech. rep. WL-2020-01. Department of Electrical and Computer Engineering, Western University, 2020, p. 45. Leah Krehling. 非識別化ガイドライン。Tech. rep. WL-2020-01. Western University, Electrical and Computer Engineering, 2020, p. 45.
[130] “Pillar Investigates: USCCB gen sec Burrill resigns after sexual misconduct alle- gations”. In: The Pillar (July 2021). URL: https://www.pillarcatholic.com/p/pillar- investigates-usccb-gen-sec. 「Pillar Investigates: "Pillar Investigates: USCCB gen sec Burrill resigns after sexual misconduct alle- gates". In: The Pillar (July 2021). URL: https://www.pillarcatholic.com/p/pillar- investigates-usccb-gen-sec.
[147] Kevin Stine et al. Volume I: guide for mapping types of information and infor- mation systems to security categories. Gaithersburg, MD, 2008. DOI: 10.6028/ NIST.SP.800-60v1r1. URL: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/ nistspecialpublication800-60v1r1.pdf. Kevin Stine et al. Volume I: Guide for mapping types of information and infor- mation systems to security categories. Gaithersburg, MD, 2008. DOI: 10.6028/ NIST.SP.800-60v1r1. URL: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/ nistspecialpublication800-60v1r1.pdf.
[151] Latanya Sweeney. “k-anonymity: a model for protecting privacy”. In: International Journal on Uncertainty, Fuzziness and Knowledge-based Systems 10 (5 2002), pp. 557–570. Latanya Sweeney. 「k-anonymity: a model for protecting privacy". In: International Journal on Uncertainty, Fuzziness and Knowledge-based Systems 10 (5 2002), pp.
[168] Russell T. Vought. Phase 1 Implementation of the Foundations for Evidence-Based Policymaking Act of 2018: Learning Agendas, Personnel, and Planning Guidance. URL: https://www.whitehouse.gov/wp-content/uploads/2019/07/M-19-23.pdf. ラッセル・T・ヴォート Evidence-Based Policymaking Act of 2018の第1段階実施: Learning Agendas, Personnel, and Planning Guidance. URL: https://www.whitehouse.gov/wp-content/uploads/2019/07/M-19-23.pdf.
[170] Charlie Warzel and Stuart A. Thompson. “How Your Phone Betrays Democracy”. In: The New York Times (Dec. 2019). URL: https://www.nytimes.com/interactive/ 2019/12/21/opinion/location-data-democracy-protests.html. Charlie Warzel and Stuart A. Thompson. 「How Your Phone Betrays Democracy". In: The New York Times (Dec. 2019). URL: https://www.nytimes.com/interactive/ 2019/12/21/opinion/location-data-democracy-protests.html.

 

目次...

ExecutiveSummary 要旨
1. Introduction 1. 序文
1.1. DocumentPurposeandScope 1.1. 文書の目的と範囲
1.2. IntendedAudience 1.2. 想定読者
1.3. Organization 1.3. 組織
2. Introducing De-Identifcation 2. 非識別化について
2.1. Historical Context 2.1. 歴史的背景
2.2. Terminology 2.2. 用語
3. Governance and Management of Data De-Identifcation 3. データ非識別についてのガバナンスと管理
3.1. Identifying the Goals and Intended Uses of De-Identifcation 3.1. 非識別化の目的と用途を特定する。
3.2. Evaluating the Risks and Benefts That Arise from De-Identifed Data Releases 3.2. 非識別化データの公開から生じるリスクと便益の評価
3.2.1. ProbabilityofRe-Identifcation 3.2.1. 再識別の確率
3.2.2. Adverse Impacts of Re-Identifcation 3.2.2. 再識別による悪影響
3.2.3. Impacts Other Than Re-Identifcation 3.2.3. 再識別以外の影響
3.2.4. Remediation 3.2.4. 修復
3.3. Data LifeCycle. 3.3. データライフサイクル
3.4. Data-Sharing Models 3.4. データ共有モデル
3.5. The Five Safes 3.5. 5つの安全
3.6. Disclosure Review Boards 3.6. 情報開示審査委員会
3.7. De-Identifcation and Standards 3.7. 非識別化と標準
3.7.1. Benefts of Standards 3.7.1. 標準の恩恵
3.7.2. Prescriptive De-Identifcation Standards 3.7.2. 規定的な非識別化標準
3.7.3. Risk-Based De-Identifcation Standards 3.7.3. リスクベースの非識別化標準
3.8. Education, Training, and Research 3.8. 教育、訓練、研究
3.9. Alternative Approaches for Computing Statistics on Confdential Information 3.9. 機密情報の統計計算の代替アプローチ
3.9.1. Encryption and Access Control 3.9.1. 暗号化とアクセス制御
3.9.2. Secure Computation 3.9.2. 安全な計算
3.9.3. Trusted Execution Environments 3.9.3. 信頼された実行環境
3.9.4. Physical Enclaves 3.9.4. 物理的飛び地
4. Technical Steps for Data De-Identifcation 4. データ識別の技術的ステップ
4.1. Determine the Privacy, Data Usability, and Access Objectives 4.1. プライバシー、データの有用性、およびアクセスの目的を決定する。
4.2. Conducting a Data Survey 4.2. データ調査の実施
4.3. De-Identifcation by Removing Identifers and Transforming Quasi-Identifers 4.3. 識別子の削除と準識別子の変換による非識別化
4.3.1. Removing or Transforming of Direct Identifers 4.3.1. 直接識別子の除去または変換
4.3.2. Special Security Note Regarding the Encryption or Hashing of Direct Identifers 4.3.2. 直接識別子の暗号化またはハッシュ化に関する特別なセキュリティ上の注意事項
4.3.3. De-Identifying Numeric Quasi-Identifers 4.3.3. 数値的な準識別子の非識別化
4.3.4. De-Identifying Dates 4.3.4. 日付の非識別化
4.3.5. De-Identifying Geographical Locations and Geolocation Data 4.3.5. 地理的位置と地理的位置データの非識別化
4.3.6. De-Identifying Genomic Information 4.3.6. ゲノム情報の非識別化
4.3.7. De-Identifying Text Narratives and Qualitative Information 4.3.7. テキストナレーションと質的情報の非識別化
4.3.8. Challenges Posed by Aggregation Techniques. 4.3.8. 集約技術がもたらす課題。
4.3.8.1. Example 4.3.8.1. 例
4.3.9. Challenges Posed by High-Dimensiona lData 4.3.9. 高次元データによる課題
4.3.10.Challenges Posed by LinkedData 4.3.10.リンクデータによる課題
4.3.11.Challenges Posed by Composition 4.3.11.合成による課題
4.3.12.Potential Failures of De-Identifcation 4.3.12.識別の失敗の可能性
4.3.13.Post-Release Monitoring 4.3.13.公開後のモニタリング
4.4. Synthetic Data 4.4. 合成データ
4.4.1. Partially Synthetic Data 4.4.1. 部分合成データ
4.4.2. Test Data 4.4.2. テストデータ
4.4.3. Realistic Test Data 4.4.3. 現実的なテストデータ
4.4.4. Fully Synthetic Data 4.4.4. 完全合成データ
4.4.5. Synthetic Data with Validation 4.4.5. 検証付き合成データ
4.4.6. Synthetic Data and Open Data Policy 4.4.6. 合成データとオープンデータポリシー
4.4.7. Creating a Synthetic Dataset with Diferential Privacy 4.4.7. 差分プライバシーを持つ合成データセットの作成
4.5. De-Identifying with an Interactive Query Interface 4.5. 対話型クエリー・インターフェースによる非識別化
4.6. Validatinga De-Identifed Dataset 4.6. 非識別化データセットの検証
4.6.1. Validating Data Usefulness 4.6.1. データの有用性を検証する
4.6.2. Validating Privacy Protection 4.6.2. プライバシー保護の検証
4.6.3. Re-Identifcation Studies 4.6.3. 再識別の調査
5.  Software Requirements, Evaluation, and Validation 5. ソフトウェア要件、評価、検証
5.1. EvaluatethePrivacy-PreservingTechniques 5.1. プライバシー保護技術の評価
5.2. De-IdentifcationTools 5.2. 非識別化ツール
5.2.1. De-IdentifcationToolFeatures. 5.2.1. 非識別化ツールの特徴。
5.2.2. Data Provenance and File Formats 5.2.2. データ証明とファイルフォーマット。
5.2.3. Data Masking Tools 5.2.3. データ・マスキング・ツール
5.3. Evaluating De-Identifcation Software 5.3. 非識別化ソフトウェアの評価
5.4. Evaluating Data Accuracy 5.4. データ精度の評価
6. Conclusion 6.結論
References 参考文献
A.Standards A.標準
A.1.NIST Publications A.1.NISTP出版物
A.2.Other U.S. Government Publications A.2.その他の米国政府刊行物
Selected Publications by Other Governments その他の政府刊行物。
Reports and Books 報告書および書籍
How-To Articles ハウツー記事
B. List of Symbols, Abbreviations, and Acronyms B.記号、略語、頭字語のリスト
C. Glossary C.用語集

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.20 NIST SP 800-188(ドラフト)政府データセットの非識別化(ドラフト第3版)(2022.11.15)

| | Comments (0)

2023.09.21

中国 ネット侵害情報通報の更なる強化に関する指導意見 (2023.09.15)

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局がネット侵害情報通報の更なる強化に関する指導意見というのを公表していますね。。。8月31日に決定したもののようです。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2023.09.15 关于进一步加强网络侵权信息举报工作的指导意见

关于进一步加强网络侵权信息举报工作的指导意见 ネット侵害情報通報の更なる強化に関する指導意見
各省、自治区、直辖市党委网信办,新疆生产建设兵团党委网信办: 各省、自治区、直轄市のネットワーク・セキュリティ管理局、新疆生産建設兵団党ネットワーク・セキュリティ管理局:
网络侵权信息举报工作是网信部门践行网上群众路线的重要举措,是保护网民网络合法权益的重要手段,对促进形成积极健康、向上向善的网络文化具有重要意义。为加强网络侵权信息举报工作,推动建立良好网络生态,切实维护好广大网民网络合法权益,现提出如下意见。 ネットワーク侵害情報報告作業は、インターネット部門の重要な措置は、オンライン大衆の行を実践することであり、ネット利用者ネットワークの正当な権利と利益を保護することである肯定的かつ健全な、上向きに移動するネットワーク文化の形成を促進する重要な手段である重要な意義がある。 ネットワーク侵害情報報告業務を強化し、良好なネットワーク生態系の確立を促進し、効果的に大多数のネットユーザーのネットワークの合法的な権利と利益を保護するために、現在、以下の見解を発表した。
一、总体要求 I. 全体的な要求
(一)指导思想 (1)指導思想
以习近平新时代中国特色社会主义思想为指导,深入贯彻落实党的二十大和二十届一中、二中全会精神,坚持以人民为中心的发展思想,坚持围绕中心、服务大局,以提升广大网民在网络空间的获得感、幸福感、安全感为目标,以维护好广大网民网络合法权益为出发点和落脚点,以压紧压实网站平台主体责任为着力点,夯实工作基础、创新完善举措、健全制度规范、完善体制机制,突出做好涉公民个人、企业法人网络侵权信息举报工作,持续营造清朗网络空间,助力经济社会健康有序发展。 新時代の中国の特色ある社会主義という習近平の思想に導かれ、第20回中国共産党全国代表大会と第20期中国共産党中央委員会第1、2回全体会議の精神を深く実行し、人民を中心とする発展理念を堅持し、中心を重視し、全体情勢に奉仕することを堅持し、一般ネット民のサイバースペースへのアクセス感、幸福感、安心感を高めることを目的とし、インターネット上の大多数のネット民の合法的な権益を守ることを原点とし、コンパサイトの主な責任を引き締めることを目的とする。 焦点のプラットフォームの主な責任は、仕事の基礎を踏み固め、技術革新とイニシアチブを改善し、制度や規範を改善し、制度的メカニズムを改善し、個人、企業ネットワークの侵害情報報告に関与する市民を強調し、経済社会の健全かつ秩序ある発展を支援するために、明確なサイバースペースを作成し続ける。
(二)主要原则 (2)主要原則
坚持系统观念。加强整体设计、注重统筹协调,推动线上线下受理处置全覆盖,主体责任和监督责任同步落实,横向协同和纵向联动一体构建,全方位、全链条推进工作。 システム視点の堅持。 全体的な設計を強化し、協調を重視し、オンラインとオフラインの受け入れと廃棄を完全にカバーすることを促進し、主な責任と監督責任の実施を同期させ、水平的な相乗効果と垂直的な連携を構築し、全方向と全チェーンに沿った作業を促進する。
坚持问题导向。针对网民网络维权难点堵点问题,立足职能、靶向施策、精准发力,创新工作思路、改进方法手段,着力提升网民举报投诉的有效性和处置率。 問題指向アプローチの堅持。 ネット利用者ネットワークの権利問題については、機能、ターゲット、精度、革新的なアイデアに基づいて、方法と手段を改善し、ネット利用者が苦情を報告する有効性と処理率を高めるために努力する。
坚持依法依规。科学设置受理处置标准,严格受理处置流程,加强内部管理,注重风险防范,确保举报受理处置法律适用准确、程序完备合规,不断提高工作制度化、规范化水平。 法律遵守。 科学的な受理と廃棄の標準を設定し、厳格な受理と廃棄のプロセス、内部管理を強化し、リスク予防に焦点を当て、報告書の受理と廃棄の正確な適用を確保するために、手順は完全かつコンプライアンスであり、常に制度化、標準化レベルの作業を改善する。
坚持注重实效。增强针对性、突出实效性,聚焦重点领域、紧盯关键环节,综合施策、标本兼治,做深做细各项工作,确保各项重点任务落地落实。 結果の重視。 関連性を強化し、有効性を強調し、重要な分野に焦点を当て、重要なリンク、包括的なアプローチ、根本的な原因と症状に焦点を当て、重要なタスクが実装されていることを確認するために深く、詳細な作業を行う。
二、夯实工作基础 II. 業務基盤の強化
(三)优化举报服务。建立多元化举报平台,实现线上线下全覆盖,满足广大网民多层次多样化举报需求。强化举报平台服务功能,提供集“举报投诉”“举报指南”“典型案例”“法律法规”等多功能于一体的举报服务产品。加强举报渠道建设,依法依规制定举报指引,明确举报要件,方便网民有效准确举报。建立投诉维权矩阵,为网民引入法律咨询、司法救济、公益诉讼、网络调解等渠道,拓展社会力量积极参与网民权益维护保障工作。 (3)報告サービスの最適化。 多様な通報プラットフォームを構築し、オンラインとオフラインをカバーすることで、ネット利用者の多段階多様な通報ニーズを満たす。 報告プラットフォームのサービス機能を強化し、「苦情報告」、「報告ガイドライン」、「典型的な事例」、「法規」などの報告サービスを一つの製品で提供する。 「などの多機能通報サービスを一つの製品にする。 ネット利用者の効果的かつ正確な通報を促進するため、法令に基づき、通報ガイドライン、明確な通報要件を策定し、通報ルートの構築を強化する。 ネット利用者のための苦情・権利保護マトリックスを構築し、法律相談、司法救済、公益訴訟、ネットワーク調停などのチャンネルを導入し、ネット利用者の権益を保護する社会勢力の積極的な参加を拡大する。
(四)健全处置机制。建立全链条闭环举报处置机制,积极受理处理本部门职责范围内的举报,视情会商研判、移送转交职责范围外的举报;加强跟踪督办,确保“事事有着落、件件有回音”。丰富举报处置手段,建立分级分类处置措施。加大惩戒力度,严惩恶意侵权、重复侵权、群体侵权。强化震慑遏制效果,严厉处置并及时公布群众反映强烈、社会舆论关注度高的典型案件。 (4)処理メカニズムの改善。 クローズド・ループの通報処理メカニズムを構築し、積極的に部門の責任範囲内の通報を受理・処理し、協議・判断の状況に応じて、責任範囲外の通報を移送・転送する。追跡・監督を強化し、「全てに目が通され、全ての意見に返答がある」ことを確保する。 報告書の処理手段を充実させ、段階的な処理手段を確立する。 罰則を強化し、悪質な違反、度重なる違反、集団的な違反に対して厳罰を科す。 抑止効果を強化し、厳正な処分と適時の公表で国民の強い反発を招き、世論は典型的なケースに関心を寄せる。
(五)完善制度规范。健全受理处置规范,明确受理对象、受理范围、受理方式、处置举措。完善流程规范,细化集体研议、层级把关、审处分离等工作程序。建立举报人信息保护制度,严禁泄露、篡改、毁损、出售或者非法向他人提供举报人个人信息及举报材料。完善信息登记、工作台账、档案管理等制度,改进工作作风,提升服务质量。 (5)規範制度の改善。 規範の受理と廃棄を改善し、受理の対象、受理の範囲、受理、廃棄の取り組みを明確にする。 プロセスの仕様を改善し、集団審議、階層的なチェック、分離の試行と処分などの作業手順を洗練させる。 内部通報者情報保護制度を確立し、内部通報者の個人情報及び通報資料を漏洩、改ざん、破壊、販売、不法に他人に提供することを厳禁する。 情報登録、業務アカウント、ファイル管理システムを改善し、業務スタイルを改善し、サービス品質を向上させる。
(六)统一研判标准。充分发挥标准化建设在网络侵权信息举报工作中的基础性和引领性作用,研究制定依法有据、科学适用的网络侵权信息举报受理审核、研判处置标准。鼓励行业组织、网站平台积极参与标准制定。推动标准化实施应用,突出网站平台主体应用地位,努力实现从“有好标准”到“用好标准”的实践转化,逐步实现同一举报事项、同一受理条件、同一举证要求、同一办理结果。 (6)調査・判断標準の統一。 基本的かつ主導的な役割、研究開発、法律に基づいて、科学的に適用されるネットワーク情報報告侵害の監査、研究および処分基準の受け入れのネットワーク情報報告侵害の仕事の標準化を最大限に発揮する。 積極的に標準の開発に参加する業界団体、ウェブサイトのプラットフォームを奨励する。 標準化とアプリケーションの実装を促進し、ウェブサイトのプラットフォームの主なアプリケーションのステータスを強調し、変換の実践の "良い標準 "から "良い標準を使用する "を達成するために努力し、徐々に同じ報告事項、受け入れの同じ条件、証明のための同じ要件、同じ結果を達成する。
(七)强化技术支撑。加强技术系统建设,提升举报受理处置便捷化、智能化水平;拓展动态监测、统计分析、趋势研判、效果评估等功能,充分发挥数据基础资源作用,提高预测预防预警能力。加快推进网信部门网络举报技术管理系统有效衔接、互联互通,统筹推进技术融合、数据融合、业务融合,提升跨层级、跨地区网络侵权信息举报协同处置能力,为建立“一体受理、一体处置”的全国“一盘棋”工作格局提供支撑。 (7)技術サポートの強化。 技技術システムの構築を強化し、報告の受理と廃棄を便利でインテリジェントなレベルに高める。ダイナミックモニタリング、統計分析、トレンド分析、効果アセスメントなどの機能を拡大し、基礎データ資源の役割を十分に発揮させ、予測、予防、早期警報の能力を向上させる。 ネットワーク情報部門のネットワーク報告技術管理システムの効果的な接続、相互接続の促進を加速し、技術の統合、データの統合、ビジネスの統合を促進し、クロスレベル、クロスリージョナルネットワーク侵害情報の報告および処理能力を強化し、国家の「1つのディスクチェス」の「1つの受け入れ、1つの処分」の確立のために。 政府はまた、「一受一処」の全国的な「一将棋盤」作業パターンの確立を支援している。
三、切实保护公民个人网络合法权益 III. ネットにおける個人の正当な権利と利益の効果的な保護
(八)明确涉个人举报处置重点。重点受理处置未取得个人同意或违反国家有关规定,泄露公民家庭住址、身份证件、联系方式、医疗健康、行踪轨迹、金融账户等个人信息的举报线索。重点处置窃取、兜售个人信息的违法网站、账号。重点处置利用他人姓名、肖像、职务等显著标识特征,假冒仿冒他人发布信息、表达立场观点以及开展其他网络活动的违法账号。重点处置丑化污损他人肖像、错误关联或不当使用他人肖像,侮辱谩骂、诋毁诽谤、造谣抹黑侵犯他人名誉的违法和不良信息及相关账号。 (8)個人に関する報告書の処理の優先順位の明確化。 個人の同意や関連する国家規制の違反、市民の自宅住所、身分証明書、連絡先情報、医療・健康、居場所、金融口座、その他の個人情報の漏えい、手がかりとなる通報の受理と処分に重点を置く。 個人情報を盗んだり、売りつけたりする違法なウェブサイトやアカウントに注目する。 他人の名前、肖像、地位などの特色を利用し、偽の他人の真似をして情報を公開し、自分の立場や意見を表明し、また違法なアカウントの他のオンライン活動を行うことに重点を置く。 他人の肖像を誹謗中傷し、他人の肖像を不当に関連付け、または不当に利用し、侮辱し、罵倒し、中傷し、噂を作り、他人の評判を誹謗中傷する違法で望ましくない情報や関連するアカウントの処分に重点を置く。
(九)建立网络暴力信息举报快速处置通道。建立线上网络暴力信息举报专区,为网民提供便捷化举报渠道,快速受理处置针对个人集中发布的不友善、不文明言论,特别是“人肉搜索”、恶意攻击、造谣诽谤等网络暴力信息。从严处置首发、首转、多发、煽动传播网络暴力信息的账号。坚持线上处置和线下查处相结合,强化与执法司法部门的协同治理,提升网络暴力信息溯源能力,依法追究网络暴力实施者法律责任,提高网络暴力违法成本,从源头上遏制网络暴力乱象。 (9)オンライン暴力に関する通報を迅速に処理するルートを確立する。 ネット上の暴力情報を通報する特区を設け、ネット民に便利な通報ルートを提供し、個人が集中的に投稿した非友好的・非文明的発言、特に「人肉捜索」、悪意ある攻撃、風説の流布、名誉毀損などのネット上の暴力情報を迅速に受け入れ、処理する。 最初に投稿したアカウント、最初に転送したアカウント、最初に投稿したアカウント、最初にネット暴力情報の流布を扇動したアカウントには厳しく対処する。 また、オンラインとオフラインの捜査の結合を主張し、法執行機関や司法部門との協力ガバナンスを強化し、サイバー暴力に関する情報の追跡可能性を高め、サイバー暴力の加害者に法律に従って法的責任を負わせ、サイバー暴力犯罪のコストを引き上げ、サイバー暴力という現象を根源から抑制するようにした。
(十)加强特殊群体网络合法权益保护。优先保护未成年人网络合法权益,及时处置以文字、图片、音视频等形式,侮辱、诽谤、威胁未成年人或者恶意损害未成年人形象的违法和不良信息。及时处置泄露未成年人姓名、住所、照片以及其他可能识别出未成年人真实身份的违法和不良信息。依法严厉打击涉未成年人网络欺凌行为。依法保护妇女、残疾人、老年人等其他特殊群体网络合法权益,坚决处置性别歧视、年龄歧视、地域歧视等制造社会矛盾、煽动群体对立的违法和不良信息。 (10)インターネット上の特定の人々の正当な権利と利益の保護の強化。インターネット上の未成年者の正当な権利・利益の保護を優先し、未成年者を侮辱・誹謗中傷・脅迫したり、悪意をもって未成年者のイメージを損なうような文章・画像・音声・映像などの違法・好ましくない情報を適時に処分する。 未成年者の氏名、住居、顔写真等が判明する違法・好ましくない情報、その他未成年者の身元が特定されるおそれのある違法・好ましくない情報を適時に廃棄すること。 未成年者のネットいじめを法律に基づいて取り締まる。 インターネット上の女性、障害者、高齢者、その他特殊な集団の正当な権利と利益を法律に基づいて保護し、男女差別、年齢差別、地域差別など、社会的矛盾を生じさせ、集団の反感を煽る違法で望ましくない情報を断固として処分する。
(十一)把握举报受理处置重点领域。重点处置“自媒体”制作、复制、发布的虚假不实信息,建立网络账号(账号主体)黑名单机制,从严处理举报集中的违法违规账号及其主体。重点处置网络信息搜索服务提供者以链接、摘要、快照、联想词、相关搜索等形式推荐的侵权信息。重点处置网络话题、信息评论、网络直播、短视频、网络群组等栏目环节出现的互撕谩骂、拉踩引战等侵权信息。 (11)報告受理と処分の重要分野の把握。 「自己メディア」の作成、コピー、虚偽・不正確な情報の公開の処理に重点を置き、ネットワークアカウント(アカウント主体)のブラックリストメカニズムを確立し、違法アカウントとその主体の通報を厳格に処理する。 リンク、要約、スナップショット、連想語、関連検索などの形式で、ネットワーク情報検索サービス提供者が推薦する侵害情報の処理に力を入れる。 ネットトピック、情報コメント、ウェブ放送、ショートビデオ、ネットグループなどの欄に現れる、相互罵倒、引っ張り、踏みつけ、戦争に導くなどの侵害情報の処理に力を入れる。
四、切实维护企业网络合法权益 IV. ネットにおける企業の正当な権利と利益の効果的な保持
(十二)把握涉企举报处置重点。重点处置以吸睛引流、增粉养号、恶性竞争、不当盈利为目的,通过捏造事实、主观臆断、歪曲解读、恶意关联、蓄意炒作、翻炒旧闻等方式,侵害企业及企业家名誉、降低公众对企业产品或者服务社会评价,影响企业正常生产经营活动、干扰市场经济秩序的虚假不实信息。依法处置集纳企业负面信息进行敲诈勒索、假冒仿冒企业名称或显著标识开展网络活动的违法网站和账号。严厉打击操控舆论、恶意造谣诽谤企业名誉的网络水军。 (12)企業関連報告の処分の焦点の把握。 人目を引くトラフィック、いいねの数を増やし、悪質な競争を促し、事実の捏造、不適切な利益の獲得を目的とするもの、事実の捏造、主観的な思い込み、歪曲された解釈、悪意のある関連付け、意図的な憶測、古いニュースの蒸し返しなどを通じて、企業や企業家の評判を侵害し、企業の製品やサービスに対する国民の評価を低下させ、市場の経済秩序を妨害するようなものの処分に焦点をあてる。 法律に基づいて、恐喝や脅迫のために企業のネガティブな情報を収集し、企業の名称や特徴的なロゴを偽造・模倣してオンライン活動を行う違法なウェブサイトやアカウントを処分する。 世論を操作し、悪意を持って噂を作り、企業の評判を貶めるサイバー傭兵を取り締まる。
(十三)明确重点保障企业类型。依法保护企业及企业家网络合法权益,优化企业网上营商环境,支持各类所有制企业优化改革、发展壮大。重点保护“拟上市”企业网络合法权益,为企业顺利上市融资保驾护航;重点保护上市企业网络合法权益,稳定企业市值,提振投资者信心;重点保护高新技术企业、“专精特新”企业网络合法权益,助力企业创新发展、做大做优做强。 (13)保護すべき企業の種類の明確化。 法律に基づき、ネットワーク内の企業と企業家の合法的権益を保護し、企業のオンラインビジネス環境を最適化し、あらゆる所有形態の企業の改革と発展の最適化をサポートする。 「上場予定」企業の合法的権益の保護に重点を置き、企業の円滑な上場と融資を実現する。上場企業の合法的権益の保護に重点を置き、企業の市場価値を安定させ、投資家の信頼を高める。ハイテク企業の合法的権益の保護に重点を置き、「特化・特新」企業のネットワークに重点を置き、企業の革新と発展を助け、大企業、優良企業、新企業の発展を促進する。 また、ハイテク企業、「特化・特新」企業の合法的権益を保護し、企業の革新と発展を助け、より大きく、より良く、より強く成長させることに重点を置いている。
(十四)开设线上涉企举报专区。建立“两微两端”线上涉企举报专区,明确受理范围、举报要件、举证要求,积极受理属地企业网络侵权信息举报。针对属地网络侵权信息,按照“专人负责、优先办理、全程跟踪、限时办结”的工作原则,简化工作流程、依法快速处置。针对非属地网络侵权信息,按照相关规定和相关程序及时报送中央网信办。 (14)オープンオンライン企業関連報告領域の設立。2つのマイクロウェブ(WeChat, Weibo)の両方にオンライン企業関連通報エリアを設立し、受理範囲、通報要件、証明要件を明確にし、積極的に地域企業のネットワーク侵害情報通報を受理する。 地域ネットワーク侵害情報については、「担当者、優先処理、完全追跡、期限厳守」の作業原則に基づき、ワークフローを簡素化し、法に基づき迅速に処理する。 非領域のネットワーク侵害情報については、関連法規と関連手続きに基づき、中央インターネット情報局に提出する。
(十五)健全举报查证机制。拓宽工作思路,创新举证方法,丰富举证形式,降低企业举报难度,提升企业举报可行性。梳理总结侮辱谩骂污染网络生态、断章取义误导舆论、无备案仿冒假冒违法网站等显性网络侵权类别,明确无需司法、行政等国家机构举证的具体情形。探索第三方专业机构、行业标准、法律意见书、审计报告、公共服务平台查询结果、源发媒体信息等在网络侵权举证中的效用。建立与涉企职能管理部门的联动协同机制,对重要问题、重大线索进行分析研判、统筹调度,形成工作合力,为快速查证、及时处置创造有利条件。 (15)健全な報告・検証メカニズム。 思考の仕事を広げ、証明の革新的な方法、証明の豊富な形式、報告企業の難易度を下げ、企業報告の実現可能性を高める。 ネットワークエコロジーの侮辱と乱用の汚染、文脈から世論を誤解させる、模倣違法サイトや他の明白なネットワーク侵害のカテゴリの記録がない、司法、行政などの国家機関が特定の状況を証明することなくクリアを整理し、要約する。 第三者の専門組織、業界標準、法律意見、監査報告、公共サービスプラットフォームの問合せ結果、ソースメディア情報など、ネット侵害の証明における有用性を探る。 企業関連機能の管理との連携メカニズムを確立し、重要事項の分析と判断、主要な手がかり、調整とスケジューリング、迅速な調査と証拠、タイムリーな処理のための相乗効果を形成し、有利な条件を作り出す。
(十六)强化举报政策指导。主动靠前服务,积极为企业想办法、解难题。加强调查研究,摸排属地企业遭遇网络侵权情况,做到情况明、底数清。宣讲举报政策,加强培训指导,做好“送政策到企业”工作。建立与属地重点企业的沟通对接渠道,定期了解企业维权诉求,对维权诉求合理的,进行“一对一”定向辅导,解析举报方法,搭建举报渠道,强化服务保障;对维权诉求不合理的,积极做好解释说明工作。 (16)報告政策指導の強化。 積極的に前方サービスを提供し、積極的に企業が問題を解決する方法を考える。 調査研究を強化し、企業のネットワーク侵害のマッピングに遭遇し、状況が明確になるように、一番下の行が明確である。 内部告発の方針を説き、訓練と指導を強化し、「企業に方針を送る」仕事をしっかり行う。 地域の重点企業との連絡ルートを確立し、定期的に企業の権利、合理的なクレームの権利を理解し、「一対一」の指示カウンセリング、報告方法の分析、報告ルートを構築し、サービス保証を強化し、不合理なクレーム、積極的に仕事を説明するために良い仕事を行う。
(十七)严格规范企业举报行为。切实提升审核研判能力,准确把握舆论监督内涵和网络侵权标准,正确看待网上舆论监督对提升企业治理能力、完善企业生产运营机制的重要作用。按照“依法依规、有效引导、规范渠道”的原则,依法妥善处理涉劳资、合同、股权、产权、债务、消费等权益纠纷举报。合理设置举报条件,规范企业举报行为,防范举报权利滥用、扰乱举报工作秩序。 (17)企業の内部報告に対する厳格な規制。 審査・判断能力を効果的に高め、世論監視の意味合いとネット侵害の標準を正確に把握し、ネット世論監視がコーポレートガバナンス能力を高め、企業の生産・運営メカニズムを改善する上で重要な役割を果たすことを正しく捉える。 法律に従い、効果的に指導し、チャンネルを規制する」という原則に従い、法律に従い、労働、契約、持分、財産権、債務、消費者などの権益に関する紛争を適切に処理し、報告する。 合理的に報告条件を設定し、企業の報告行動を規制し、報告権の濫用を防止し、報告秩序を適切にする。
五、压紧压实网站平台主体责任 V. ウェブサイト・プラットフォームの主な責任を
(十八)严格督导检查。坚持全面检查和重点检查相结合,全面检查属地网站平台网络侵权信息举报工作情况,重点检查网站平台未按照有关法律法规及时处理反馈的显性网络侵权信息举报。建立问题台账,狠抓整改落实,对落实主体责任不力、网络侵权问题多发频发的网站平台,加强惩戒处罚。 (18)厳格な監督と検査。 包括的な検査と重要な検査の組み合わせを堅持し、地域のウェブサイトプラットフォーム上のネットワーク侵害情報の報告を包括的に検査し、ウェブサイトプラットフォームが関連法に従ってタイムリーに処理できない明示的なオンライン侵害情報の報告を検査することに重点を置く。問題のアカウントを確立し、是正の実施に細心の注意を払い、主要な責任を履行せず、オンライン侵害問題が頻繁に発生するウェブサイトプラットフォームに対する処罰と処罰を強化する。
(十九)设立投诉窗口。探索建立线上网民投诉受理窗口,及时办理网民关于属地网站平台处置网络侵权信息举报不及时、维护网民合法权益工作不到位的投诉。规范投诉处理程序,完善投诉处理措施,公布投诉处理办法。建立投诉办理情况查询系统,提高投诉处理质量和效率。健全网站平台网络侵权信息举报工作评价体系,引入群众评价参数指标,开展群众满意度测评。 (19)苦情の窓口の設置。 地域のウェブサイトやプラットフォームによるオンライン侵害情報の報告に対するネット利用者からの処理、およびネット利用者の合法的な権利と利益を保護する努力の欠如に関する苦情を迅速に処理するため、オンラインによるネット利用者の苦情受付窓口の設置を検討する。 苦情処理手順を標準化し、苦情処理措置を改善し、苦情処理方法を公表する。 苦情処理問合せシステムを確立し、苦情処理の質と効率を向上させる。 ウェブサイトやプラットフォームにおけるネット侵害情報通報の評価システムを改善し、大衆評価パラメーター指標を導入し、大衆満足度評価を実施する。
(二十)推动信息公开。指导属地重点网站平台建立常态化网络侵权信息举报受理处置情况通报机制。运用全媒体方式,显著位置发布,深度解析受理流程、研判标准、办理时限等社区规则,引导网民精准有效举报。公布网络侵权信息举报处置数量、处置措施、典型案例,接受公众监督。公开热点侵权事件举报处置情况,回应网民关切。 (20)情報公開を促進する。 地域の重要なウェブサイトプラットフォームを指導し、定期的なネットワーク侵害情報通報の受理と処理メカニズムを確立する。 全メディアのアプローチ、リリースの目立つ位置、受理プロセスの綿密な分析、研究と判断の標準、処理時間制限と他のコミュニティのルールを使用して、ネット利用者が正確かつ効果的に報告するように導く。 報告されたネットワーク侵害情報の処理件数、処理措置、典型的な事例を公表し、公衆の監督を受け入れる。 ホットな侵害事件の処理状況を公表し、ネットユーザーの懸念に応える。
(二十一)提升处置效果。指导网站平台完善分级分类网络侵权信息举报处置举措。建立快速通道机制,第一时间受理、第一时间处置显性网络侵权以及事实清楚、举证充分的举报。建立“限时加私”机制,对时效性强、举证时间久,可能给举报人造成较大负面影响的侵权信息,先行采取“加私”措施,及时阻断相关信息分享传播,为举报人完成举证提供时间窗口。建立“争议标签”机制,对涉及事项尚未得到充分证实的侵权信息,采取设置“内容存疑标签”或“链接当事人回应声明”等措施,引导网民客观评判,防止侵权信息误导舆论。 (21)処分の効果を高める。 ネットワーク侵害情報の報告や処分の取り組みの分類を改善するよう、ウェブサイトやプラットフォームを指導する。 「早期適用メカニズム」を確立し、初めて受理し、初めて明らかなネットワーク侵害を処分し、事実が明確で、文書化された報告書を提出する。 「限定的なプライバシーメカニズム」を確立し、時間が経過し証拠提出に時間がかかり、報告者に大きな負担をかける可能性のある侵害情報に対して、まず「プライバシーを強化」する措置を取り、関連情報の共有と拡散を迅速に阻止し、報告者が証拠を提出するための時間枠を提供する。さらに、「議論のタグ」メカニズムも設立されます。これは、侵害情報がまだ十分に確認されていない場合に、「内容疑問タグ」を設定したり、「関連者の応答声明」へのリンクを設けたりする措置を取る。これにより、ネットユーザーが客観的な判断を下すことができ、侵害情報が誤った情報を広めることを防ぐことができる。
六、组织实施 VI. 組織実施
(二十二)加强组织领导。提高政治站位,充分认识做好网络侵权信息举报工作的重要意义,将网络侵权信息举报工作作为管网治网重点任务,紧抓不放、常抓不懈。要精心谋划部署,制定工作方案,明确目标任务,细化工作举措。要认真组织实施,压紧压实各方责任,扎实有序推进,确保取得实效。 (22) 組織の指導力を強化する。 政治的スタンスを高め、ネット上の情報侵害をきちんと通報することの重要性を十分に理解し、ネット上の情報侵害を通報することをネットワーク管理の重要な任務として、緊密かつ執拗に行う。 注意深く配置を計画し、作業プログラムを作成し、明確な目標と任務を定め、作業イニシアティブを練り上げる。 真剣に実装を整理し、すべての当事者の責任に圧力を強化し、堅実かつ整然とした進展、効果を確保する。
(二十三)注重示范引领。坚持全面部署和试点带动相结合,围绕重点任务、关键举措开展试点示范工作,鼓励思路创新、举措创新、机制创新,及时总结推广优秀做法、典型经验,积极培育形成一批符合时代特征、贴近群众需求的网络侵权信息举报工作品牌。 (23)全面的な展開とパイロットプロジェクトの推進を組み合わせて堅持し、重点的なタスクやキーとなる措置に焦点を当てたパイロットデモンストレーションの業務、を展開する。思考の革新、措置の革新、メカニズムの革新を奨励し、優れた方法や典型的な経験を適時にまとめて広め、時代の特徴に合った、大衆のニーズに近いネットワーク侵害情報の報告作業ブランドを積極的に育成する。
(二十四)强化队伍建设。配齐配强工作力量,加强思想淬炼,增强宗旨意识,涵养为民服务精神。加强实践锻炼和业务培训,提高法律素养和媒介素养,提升为民服务本领和能力,着力打造一支业务精、能力强、守纪律、明底线的高素质专业化工作队伍。 (24)チームビルディングを強化する。全面的な展開とパイロットプロジェクトの推進を組み合わせて堅持し、重点的なタスクやキーとなる措置に焦点を当てたパイロットデモンストレーションの業務を展開する。思考の革新、措置の革新、メカニズムの革新を奨励し、優れた方法や典型的な経験を適時にまとめて広め、時代の特徴に合った、大衆のニーズに近いネットワーク侵害情報の報告作業ブランドを積極的に育成する。
(二十五)加强宣传推广。加强线上宣传,持续开展主题宣传、成效宣传、典型宣传,通过音画图文等多种手段,立体呈现网络侵权信息举报工作。加强线下推广,组织网络侵权信息举报工作宣传进基层、进社区、进学校、进企业,不断扩大网络侵权信息举报工作的公众知晓度、社会参与度。 (24)広報・宣伝を強化する。 オンライン宣伝を強化し、引き続きテーマ別の宣伝、宣伝の効果、典型的な宣伝を行い、音声や映像などの手段を通じて、ネットワーク侵害情報の報告作業を立体的に表現する。 オフラインでの宣伝活動を強化し、草の根、コミュニティ、学校、企業へのネットワーク侵害情報通報宣伝を組織し、国民の認識、社会参加のネットワーク侵害情報通報業務を絶えず拡大する。
中央网络安全和信息化委员会办公室 ネットワーク・セキュリティ情報化中央委員会弁公室

 

 

1_20210612030101

 

| | Comments (0)

JIS Q 15001:2023 個人情報保護マネジメントシステム―要求事項

こんにちは、丸山満彦です。

JIS Q 15001:2023 個人情報保護マネジメントシステム―要求事項が公開されましたね。。。

こちらは、一般社団法人情報セキュリティマネジメント認定センター (ISMS-AC) から発表はされていませんね。。。

(ISMS、BCMC、ITSMS等は、認定機関に対する要求事項であるJIS Q 17011: 2018(ISO/IEC 17011:2017)及び関連する国際基準に従って認定業務を遂行しているISMS-ACという認定機関が認証機関を認定し、その認証機関が認証をするというISOのマネジメントシステムの標準的な仕組みを採用しているのに対して、JISQ15001はそのようになっていないからですね。。。)

初版は1999.03.20 に制定され、2006.05.20、2017.12.20 に改正され、今回三度目の改正ということですね。。。

規格は日本規格協会 (JSA) で購入できます。。。

JSA

・2023.09.20 JIS Q 15001:2023 個人情報保護マネジメントシステム―要求事項 Personal information protection management systems -- Requirements

 

プレビュー...

・[PDF

20230921-55403

 

認証取得については、こちらも参考に...

● JIPDEC

・2023.09.20 JIS Q 15001改正に伴う構築・運用指針の対応について

 

 


古い話も...

 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.21 JIS Q 27001:2023 情報セキュリティ,サイバーセキュリティ及びプライバシー保護—情報セキュリティマネジメントシステム—要求事項

・2006.05.22 JISの制定及び改定 Q13335-1, Q27001, Q27002, Q15001

・2006.04.11 JISQ15001とJISQ27001&27002の説明会

・2006.03.20 JIPDEC JIS Q 15001:2006への移行計画

・2005.12.15 経済産業省 パブコメ JISQ15001

・2005.02.19 個人情報は「取得」か「収集」か


 

 

| | Comments (0)

JIS Q 27001:2023 情報セキュリティ,サイバーセキュリティ及びプライバシー保護—情報セキュリティマネジメントシステム—要求事項

こんにちは、丸山満彦です。

JIS Q 27001:2023 情報セキュリティ,サイバーセキュリティ及びプライバシー保護—情報セキュリティマネジメントシステム—要求事項が公開されましたね。。。

一般社団法人情報セキュリティマネジメント認定センター (ISMS-AC) から発表がされていますね。。。

初版は2006.05.20 に制定され、2014.03.20 に改正され、今回二度目の改正ということですね。。。

 

ISMS-AC

・2023.09.20 ISMSの要求事項 JIS Q 27001:2023発行のお知らせ

認証取得については、こちらの注意も。。。

・2023.02.23 ISMS適合性評価制度 ISO/IEC 27001:2022 への対応について(更新版)

 

規格は日本規格協会 (JSA) で購入できます。。。

JSA

・2023.09.20 JIS Q 27001:2023 情報セキュリティ,サイバーセキュリティ及びプライバシー保護―情報セキュリティマネジメントシステム―要求事項 Information security, cybersecurity and privacy protection -- Information security management systems -- Requirements

プレビュー...

・[PDF

20230921-52404

 

ちなみにその前は、JIS X 5080でしたね。。。

● JIPDEC(電子商取引推進協議会 セキュリティWG)

・2002.03 [PDF] 情報セキュリティ対策マネジメント標準 (JIS X 5080:IEC/IEC 17799) の解説


20230921-54050



 


古い話も...

 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.21 JIS Q 15001:2023 個人情報保護マネジメントシステム―要求事項

 

・2006.05.22 JISの制定及び改定 Q13335-1, Q27001, Q27002, Q15001

・2006.04.11 JISQ15001とJISQ27001&27002の説明会



 

| | Comments (0)

2023.09.20

米国 GAO 人工知能の活用と急成長がその可能性と危険性を浮き彫りにする

こんにちは、丸山満彦です。

米国GAOが「人工知能の活用と急成長はその可能性と危険性を浮き彫りにする」という、ブログの記事を上げていましたね。。。

 

U.S. GAOWatchBlog 

・2023.09.06 Artificial Intelligence’s Use and Rapid Growth Highlight Its Possibilities and Perils

 

Artificial Intelligence’s Use and Rapid Growth Highlight Its Possibilities and Perils 人工知能の活用と急成長がその可能性と危険性を浮き彫りにする
The rise of artificial intelligence has created growing excitement and much debate about its potential to revolutionize entire industries. At its best, AI could improve medical diagnosis, identify potential national security threats more quickly, and solve crimes. But there are also significant concerns—in areas including education, intellectual property, and privacy. 人工知能の台頭は、産業全体に革命をもたらす可能性について、大きな興奮と多くの議論を巻き起こしている。AIは最高の状態で、医療診断を改善し、潜在的な国家安全保障上の脅威をより迅速に特定し、犯罪を解決する可能性がある。しかし、教育、知的財産、プライバシーなどの分野では大きな懸念もある。
Today’s WatchBlog post looks at our recent work on how Generative AI systems (for example, ChatGPT and Bard) and other forms of AI have the potential to provide new capabilities, but require responsible oversight. 本日のWatchBlogでは、生成的AIシステム(例えば、ChatGPTやBard)や他の形態のAIが、どのように新しい能力を提供する可能性があるかについての我々の最近の研究を紹介する。
1_20230920131901
The promise and perils of current AI use 現在のAI利用がもたらす期待と危険
Our recent work has looked at three major areas of AI advancement. 我々の最近の研究では、AIの進歩の3つの主要分野を見てきた。
Generative AI systems can create text (apps like ChatGPT and Bard, for example), images, audio, video, and other content when prompted by a user. These growing capabilities could be used in a variety of fields such as education, government, law, and entertainment. As of early 2023, some emerging generative AI systems had reached more than 100 million users. Advanced chatbots, virtual assistants, and language translation tools are examples of generative AI systems in widespread use. As news headlines indicate, this technology continues to gain global attention for its benefits. But there are concerns too, such as how it could be used to replicate work from authors and artists, generate code for more effective cyberattacks, and even help produce new chemical warfare compounds, among other things. Our recent Spotlight on Generative AI takes a deeper look at how this technology works. 生成的AIシステムは、テキスト(例えばChatGPTやBardのようなアプリ)、画像、音声、動画、その他のコンテンツを、ユーザーに促されるままに作成することができる。こうした能力の向上は、教育、政府、法律、エンターテインメントなど、さまざまな分野で活用される可能性がある。2023年初頭の時点で、いくつかの新興の生成的AIシステムの利用者は1億人を超えている。高度なチャットボット、バーチャルアシスタント、言語翻訳ツールは、広く使われている生成的AIシステムの一例である。ニュースの見出しが示すように、この技術はその利点から世界的に注目を集め続けている。しかし、作家やアーティストの作品を複製したり、より効果的なサイバー攻撃のコードを生成したり、新たな化学兵器化合物の生産に役立てたりするために使用される可能性があるなど、懸念もある。我々の最近のスポットライト「生成的AI」では、この技術がどのように機能するかについて詳しく見ている。
Machine learning is a second application of AI growing in use. This technology is being used in fields that require advanced imagery analysis, from medical diagnostics to military intelligence. In a report last year, we looked at how machine learning was used to assist the medical diagnostic process. It can be used to identify hidden or complex patterns in data, detect diseases earlier and improve treatments. We found that benefits include more consistent analysis of medical data, and increased access to care, particularly for underserved populations.  However, our work looked at limitations and bias in data used to develop AI tools that can reduce their safety and effectiveness and contribute to inequalities for certain patient populations. 機械学習はAIの第二の応用として利用が拡大している。この技術は、医療診断から軍事情報まで、高度な画像分析を必要とする分野で利用されている。昨年のレポートでは、医療診断プロセスを支援するために機械学習がどのように使用されているかを調べた。機械学習は、データの隠れたパターンや複雑なパターンを特定し、病気の早期発見や治療法の改善に利用できる。我々は、医療データの分析がより一貫性を持ち、特に十分なサービスを受けていない人々のケアへのアクセスが増加するなどの利点があることを発見した。 しかし、我々の研究は、AIツールの安全性と有効性を低下させ、特定の患者集団の不平等を助長する可能性のある、AIツールの開発に使用されるデータの限界とバイアスについて調べた。
Facial recognition is another type of AI technology that has shown both promises and perils in its use. Law enforcement—federal, as well as state and local—have used facial recognition technology to support criminal investigations and video surveillance. It is also used at ports of entry to match travelers to their passports. While this technology can be used to identify potential criminals more quickly, or those who may not have been identified without it, our work has also found some concerns with its use. Despite improvements, inaccuracies and bias in some facial recognition systems could result in more frequent misidentification for certain demographics. There are also concerns about whether the technology violates individuals’ personal privacy. 顔認識もまた、AI技術の一種であり、その利用には期待と危険の両面がある。連邦、州、地方の法執行機関は、犯罪捜査やビデオ監視を支援するために顔認識技術を使用してきた。また、入国港で旅行者とパスポートを照合するためにも使われている。この技術は、潜在的な犯罪者や、この技術がなければ識別できなかったかもしれない人物を、より迅速に識別するために使用されることがあるが、我々の調査では、この技術の使用にはいくつかの懸念もあることがわかった。改善されたとはいえ、一部の顔認識システムには不正確さやバイアスがあり、その結果、特定の層で誤認が頻発する可能性がある。また、この技術が個人のプライバシーを侵害するのではないかという懸念もある。
1_20230920152001
Ensuring accountability and mitigating the risks of AI use 説明責任の確保とAI利用のリスク低減
As AI use continues its rapid expansion, how can we mitigate the risks and ensure these systems are working appropriately for all? AIの利用が急速に拡大する中、どのようにリスクを軽減し、これらのシステムがすべての人に適切に機能するようにすればよいのだろうか。
Appropriate oversight will be critical to ensuring AI technologies remain effective, and keep our data safeguarded. We developed an AI Accountability Framework to help Congress address the complexities, risks, and societal consequences of emerging AI technologies. Our framework lays out key practices to help ensure accountability and responsible AI use by federal agencies and other entities involved in the design, development, deployment, and continuous monitoring of AI systems. It is built around four principles—governance, data, performance, and monitoring—which provide structures and processes to manage, operate, and oversee the implementation of AI systems. AI技術が効果的であり続け、我々のデータが保護され続けるためには、適切な監視が不可欠である。我々は、議会が新たなAI技術の複雑性、リスク、社会的影響に対処するのを支援するため、AI説明責任フレームワークを開発した。我々のフレームワークは、AIシステムの設計、開発、配備、継続的モニタリングに関わる連邦政府機関やその他の事業体による説明責任と責任あるAI利用を確保するための主要な実践方法を示している。ガバナンス、データ、パフォーマンス、モニタリングという4つの原則を中心に構築されており、AIシステムの導入を管理、運用、監督するための仕組みとプロセスを提供する。
AI technologies have enormous potential for good, but much of their power comes from their ability to outperform human abilities and comprehension. From commercial products to strategic competition among world powers, AI is poised to have a dramatic influence on both daily life and global events. This makes accountability critical to its application, and the framework can be employed to ensure that humans run the system—not the other way around. AIテクノロジーは善のために莫大な可能性を秘めているが、そのパワーの多くは、人間の能力や理解力を凌駕する能力に由来する。商業製品から世界大国間の戦略的競争まで、AIは日常生活と世界的出来事の両方に劇的な影響を及ぼす態勢を整えている。そのため、AIの応用にはアカウンタビリティが不可欠であり、このフレームワークは、人間がシステムを動かすのではなく、その逆を確実にするために採用することができる。

 

 

 


 

 

 まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.15 米国 GAO 科学技術スポットライト:生成的AI

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.07.10 米国 GAO 顔認識技術:連邦政府機関の利用と関連するプライバシー保護 (2022.06.29)

・2021.07.23 U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

・2020.12.02 U.S. GAO 医療における人工知能:患者ケアを強化する技術の利点と課題

 

 

| | Comments (0)

OECD 通信インフラのセキュリティの強化 (2023.09.13)

こんにちは、丸山満彦です。

OECDが通信インフラのセキュリティの強化についての報告書を公表していますね。。。

 

OECD

・2023.09.13 Enhancing the security of communication infrastructure

Enhancing the security of communication infrastructure 通信インフラのセキュリティを強化する
The digital security of communication networks is crucial to the functioning of our societies. Four trends are shaping networks, raising digital security implications: i) the increasing criticality of communication networks, ii) increased virtualisation of networks and use of cloud services, iii) a shift towards more openness in networks and iv) the role of artificial intelligence in networks. These trends bring benefits and challenges to digital security. While digital security ultimately depends on the decisions made by private actors (e.g. network operators and their suppliers), the report underlines the role governments can play to enhance the digital security of communication networks. It outlines key policy objectives and actions governments can take to incentivise the adoption of best practices and support stakeholders to reach an optimal level of digital security, ranging from light-touch to more interventionist approaches. 通信ネットワークのデジタル・セキュリティは、社会の機能にとって極めて重要である。i) 通信ネットワークの重要性の増大、ii) ネットワークの仮想化とクラウドサービスの利用拡大、iii) ネットワークのオープン化へのシフト、iv) ネットワークにおける人工知能の役割。これらのトレンドは、デジタル・セキュリティに利益と課題をもたらす。デジタル・セキュリティは、最終的には民間事業者(ネットワーク事業者やそのサプライヤーなど)の意思決定に依存するが、本報告書では、通信ネットワークのデジタル・セキュリティを強化するために政府が果たせる役割を強調している。本報告書では、ベストプラクティスの導入にインセンティブを与え、関係者が最適なデジタル・セキュリティ・レベルに到達できるよう支援するために政府が取り得る主な政策目標と行動を、ライトタッチからより介入的なアプローチまで幅広く概説している。

 

・[PDF]

20230920-100509

・[DOCX] 仮訳

 

目次...

Foreword 序文
Executive summary 要旨
Enhancing the security of communication infrastructure 通信インフラのセキュリティ強化
Introduction はじめに
Scope スコープ
Digital security of communication networks 通信ネットワークのデジタル・セキュリティ
A brief description of communication networks 通信ネットワークの簡単な説明
Trends in communication networks impacting digital security risk デジタル・セキュリティ・リスクに影響を与える通信ネットワークの動向
Increasing criticality of communication networks 高まる通信ネットワークの重要性
Virtualisation of networks and the integration of cloud services ネットワークの仮想化とクラウドサービスの統合
Towards more openness in networks ネットワークのオープン化に向けて
Artificial Intelligence (AI) in communication networks 通信ネットワークにおける人工知能(AI)
Cross-cutting overview of security implications 安全保障への影響を横断的に概観する
Main security benefits: a potential for increased transparency, automation and supply chain diversification 主な安全保障上のメリット:透明性の向上、自動化、サプライチェーンの多様化の可能性
High-level challenges: a shift in scale, scope and speed 高レベルの課題:規模、範囲、スピードの変化
Policy discussion 政策討議
Policy objectives 政策目標
Policy actions and country initiatives around the OECD OECD周辺の政策措置と各国の取り組み
Concluding remarks 結びの言葉
Annex 1. Open Source Software in communication networks 附属書 1.通信ネットワークにおけるオープンソースソフトウェア
Annex 2. Open RAN initiatives in OECD countries 附属書 2.OECD諸国におけるオープンRANの取り組み
Annex 3. Selection of legal requirements for the digital security of communication networks 附属書 3.通信ネットワークのデジタル・セキュリティに関する法的要件の選択
References 参考文献

 

エグゼクティブサマリー...

Executive summary  要旨 
Communication networks are the foundation of the digital transformation. Given their crucial role, digital security and resilience have become a priority for policy makers across the OECD to ensure the functioning of our digitally dependent economies and societies and strengthen trust in the ongoing digital transformation. However, cyberattacks on these networks are on the rise and increasingly sophisticated. At the same time, communication networks are undergoing significant changes and are being upgraded to new technological standards (e.g. 5G and 6G), which, in turn, impact their security.   通信ネットワークはデジタルトランスフォーメーションの基盤である。その重要な役割を踏まえ、デジタルに依存する経済社会の機能を確保し、進行中のデジタル変革に対する信頼を強化するため、デジタル・セキュリティとレジリエンスはOECD全体の政策決定者にとって優先事項となっている。しかし、こうしたネットワークに対するサイバー攻撃は増加傾向にあるます巧妙になっている。同時に、通信ネットワークは大きな変化を遂げ、新たな技術標準(5Gや6Gなど)に更新されつつあり、その結果、セキュリティにも影響を及ぼしている。  
This report considers four trends that are shaping and changing communication networks and the digital security implications these raise:  本報告書では、通信ネットワークを形成・変化させつつある4つのトレンドと、それらがデジタル・セキュリティに与える影響について考察する: 
•       The increasing criticality of and reliance on communication networks by the economy and society, which is changing the context of digital security of communication networks.   •       経済社会における通信ネットワークの重要性と依存度の高まりは、通信ネットワークのデジタル・セキュリティの文脈を変えつつある。  
•       An increased virtualisation of networks and a more important use of cloud services.   •       ネットワークの仮想化が進み、クラウドサービスの利用がより重要になる。  
•       A shift towards more openness in networks, including open radio access network (RAN).   •       オープンな無線アクセス・ネットワーク(RAN)を含む、ネットワークのオープン化へのシフト。  
•       The role of artificial intelligence in communication networks.   •       通信ネットワークにおける人工知能の役割。  
Each of these trends is shaping communication networks and, therefore, prompts questions on their implications on digital security.  これらのトレンドはそれぞれ通信ネットワークを形成しているため、デジタル・セキュリティーにどのような影響を与えるのか疑問が残る。 
On the one hand, these trends benefit digital security risk management of communication infrastructure. They can help improve network visibility and management, enable network segmentation and isolation, allocate security resources more effectively, and automate the early detection of malware and malicious activity. Increased transparency and reduced dependencies on certain suppliers are additional possible benefits to digital security, driven by the shift towards more openness.   一方では、これらのトレンドは通信インフラのデジタル・セキュリティ・リスク管理に有益である。ネットワークの可視性と管理の向上、ネットワークのセグメンテーションと分離の実現、セキュリティ・リソースの効果的な割り当て、マルウェアや悪意のある活動の早期検出の自動化などに役立つ。透明性の向上や特定のサプライヤーへの依存度の低減も、オープン化へのシフトによってデジタル・セキュリティにもたらされる可能性のあるメリットである。  
However, these trends also challenge digital security risk management in communication infrastructure. Overall, they result in:  しかし、こうした傾向は、通信インフラにおけるデジタル・セキュリティ・リスク管理の課題にもなっている。全体として、以下のような結果となっている: 
•       An expanding attack surface (i.e. the set of points of an information system that are potentially vulnerable to an attack). Since the architecture of communication networks is increasingly complex, and because networks are increasingly software-defined, cloud-based and virtualised, they contain more software vulnerabilities that can be exploited.  •       拡大する攻撃対象領域(情報システムにおいて潜在的に攻撃を受けやすいポイントの集合)。通信ネットワークのアーキテクチャはますます複雑化し、ネットワークはますますソフトウェアで定義され、クラウドベースになり、仮想化されているため、悪用される可能性のあるソフトウェアの脆弱性がより多く含まれている。 
•       A broader and more complex supply chain. Some of the technological advancements outlined in the trends tend to increase the dependency of network operators on some of their suppliers and to redistribute control and responsibility for the management of digital security risk along the entire value chain. These suppliers include providers of telecommunication equipment, as well as providers of cloud, components, servers and managed services, which are likely to play an increasingly important role in the digital security of communication networks. The communication infrastructure supply chain is often complex, which makes the allocation of responsibility in case of a digital security incident even more difficult.  •       より広範で複雑なサプライチェーン。トレンドで説明した技術的進歩の中には、ネットワーク事業者の一部のサプライヤーへの依存度を高め、バリューチェーン全体にわたってデジタル・セキュリティ・リスクの管理に対する統制と責任を再分配する傾向があるものもある。こうしたサプライヤーには、通信機器のプロバイダーだけでなく、クラウド、コンポーネント、サーバー、マネージド・サービスのプロバイダーも含まれ、通信ネットワークのデジタル・セキュリティにおいてますます重要な役割を果たすようになると考えられる。通信インフラのサプライチェーンは複雑であることが多いため、デジタル・セキュリティ・インシデントが発生した場合の責任分担はさらに難しくなる。 
•       An aggravating threat landscape, driven in part by the commoditisation of attacks (e.g., “ransomware-as-a-service”) and the increasing sophistication of State-sponsored and other threat actors. Against this backdrop, malicious actors’ motivation to breach communication networks’ availability, integrity or confidentiality is significantly increasing as communication networks become increasingly critical.   •       攻撃のコモディティ化(例:「ランサムウェア・アズ・ア・サービス」)や、国家やその他の脅威行為者の巧妙化などにより、脅威の状況は悪化の一途をたどっている。このような背景から、通信ネットワークの可用性、完全性、機密性を侵害しようとする悪意のある行為者の動機は、通信ネットワークの重要性が増すにつれて著しく高まっている。  
The paradox facing governments is that while communication networks are increasingly considered critical infrastructure, their digital security ultimately depends upon decisions made by third parties, namely network operators and their suppliers. Nevertheless, governments do have a clear role to play to incentivise the adoption of digital security best practices and to support an enabling environment that empowers stakeholders to reach an optimal level of digital security. This can be fostered through the following policy objectives:  政府が直面しているパラドックスは、通信ネットワークがますます重要なインフラと見なされるようになっている一方で、そのデジタル・セキュリティは最終的に第三者、すなわちネットワーク事業者とその供給業者の意思決定に依存しているということである。とはいえ、政府には、デジタル・セキュリティのベスト・プラクティスを導入するインセンティブを与え、利害関係者がデジタル・セキュリティの最適なレベルに到達できるような環境を支援するという明確な役割がある。これは、以下の政策目標を通じて促進することができる: 
•       First, adopting a holistic and strategic approach towards enhancing the digital security of communication infrastructure, which i) considers the entire lifecycle of products and services on which operators rely, ii) gathers all relevant stakeholders and iii) is co-ordinated across the whole government and at the international level. Importantly, co-ordination across governmental agencies and a clear definition of responsibility and/or mandates between them are essential.   •       第一に、通信インフラのデジタル・セキュリティ強化に向けた全体的かつ戦略的なアプローチを採用することである。このアプローチは、i) 事業者が依存する製品やサービスのライフサイクル全体を考慮し、ii) 関連するすべての利害関係者を集め、iii) 政府全体および国際レベルで調整される。重要なことは、政府機関間の調整と、政府機関間の責任や権限の明確な定義が不可欠であるということである。  
•       Second, incentivising network operators to enhance digital security and adopt comprehensive risk management frameworks (i.e., risk assessment and risk treatment) and encouraging them to explore more advanced security approaches, such as the “zero trust” model.   •       第二に、ネットワーク事業者がデジタル・セキュリティを強化し、包括的なリスク管理の枠組み(すなわち、リスク評価とリスク処理)を採用するインセンティブを与え、「ゼロトラスト」モデルなど、より高度なセキュリティ・アプローチを模索するよう促すことである。  
•       Third, addressing supply chain digital security risk by incentivising suppliers to improve supply chain transparency (e.g. through enhanced traceability of components and digital security certification) and supporting diversification within information and communication technology and services supply chains.   •       第三に、サプライチェーンの透明性向上(部品のトレーサビリティ強化やデジタルセキュリティ認証の取得など)や、情報通信技術・サービスのサプライチェーンにおける多様化を支援することにより、サプライチェーンのデジ タルセキュリティ・リスクに対処する。  
These three objectives can help structure public policy interventions to improve the digital security of communication infrastructure. Governments can apply several policy actions to address the cross-cutting challenges and uphold policy objectives, ranging from light-touch to more interventionist approaches: voluntary frameworks and guidance, multistakeholder initiatives and funding research, third-party evaluation and certification, public procurement, and legal requirements. These actions can be shaped as needed to carefully address the cross-cutting challenges in terms of scope, scale and speed of cyberattacks. OECD countries have introduced policy initiatives spanning these policy actions, from voluntary frameworks to legal requirements on digital security. However, digital security is an ever-moving target that requires constant re-evaluation, both regarding the best practices available for private stakeholders to implement as well as the structure and objective of public policies to create the enabling environment to incentivise the adoption of best practices by private stakeholders.  これら3つの目的は、通信インフラのデジタル・セキュリティを向上させるための公共政策の介入を構成するのに役立つ。政府は、横断的な課題に対処し、政策目標を堅持するために、自主的な枠組みやガイダンス、マルチステークホルダー・イニシアティブ、研究への資金提供、第三者による評価と認証、公共調達、法的要件など、軽いタッチからより介入的なアプローチまで、いくつかの政策行動を適用することができる。これらの措置は、サイバー攻撃の範囲、規模、スピードといった横断的な課題に注意深く対処するために、必要に応じて形成することができる。OECD加盟国は、自主的な枠組みからデジタルセキュリティに関する法的要件まで、これらの政策行動にまたがる政策イニシアチブを導入している。しかし、デジタル・セキュリティは常に動き続ける目標であり、民間の利害関係者が実施可能なベスト・プラクティスだけでなく、民間の利害関係者によるベスト・プラクティスの採用にインセンティブを与える環境を整備するための公共政策の構造や目的についても、常に再評価が必要である。 

 

 

| | Comments (0)

ENISA 2030の脅威の展望 (2023.09.13)

こんにちは、丸山満彦です。

ENISAが、2030のサイバー脅威を展望する報告書の要約書を公表していますね。。。2023.03.29に公表された報告書の要約ですね。。。

 

⚫︎ ENISA

・2023.09.13 Foresight 2030 Threats

・[PDF]

20230920-41501

 

EXECUTIVE DIRECTOR FOREWORD エグゼクティブ・ディレクター まえがき
The cybersecurity threat landscape is a complex ecosystem of threats, threats actors and attack techniques that are also subject to the influence of world events such as pandemics and geopolitics. The best knowledge, and tools we have at hand today to reduce the impact of cyber threats might not fit tomorrow’s threat landscape. サイバーセキュリティの脅威の状況は、脅威、脅威行為者、攻撃手法の複雑なエコシステムであり、パンデミックや地政学などの世界的な出来事の影響も受ける。サイバー脅威の影響を軽減するために今日我々が手にしている最善の知識やツールは、明日の脅威の状況に適合しないかもしれない。
Can we foresee the full extent of the potential use or abuse of our current technological developments? 私たちは、現在の技術開発の潜在的な利用や悪用の全容を予見することができるのだろうか?
Even if we still cannot predict the future, we have the duty to anticipate emerging trends and patterns.  たとえ未来を予測できないとしても、私たちには新たなトレンドやパターンを予測する義務がある。
In 2021, ENISA developed a cybersecurity foresight methodological framework grounded in foresight research and future studies.  The framework was first used in 2022 to devise future scenarios and identify threats and challenges likely to emerge by 2030. This methodology was produced in cooperation with the wider cybersecurity community. 2021年、ENISAは先見研究と未来研究に基づくサイバーセキュリティの先見性の方法論的枠組みを開発した。 このフレームワークは2022年に初めて使用され、将来のシナリオを考案し、2030年までに出現しそうな脅威と課題を特定した。この方法論は、より広範なサイバーセキュリティ・コミュニティと協力して作成された。
This booklet summarises upcoming challenges and provides for an assessment of the risks. We are now ready to design the cyber secure future ahead of us.  この小冊子は、今後の課題を要約し、リスクのアセスメントを提供するものである。我々は今、サイバーセキュアな未来を設計する準備が整った。
Juhan Lepassaar Executive Director ユーハン・レパサール エグゼクティブ・ディレクター
Reference to the report page:   報告書のページを参照する:  
[web] [web]
1. SUPPLY CHAIN COMPROMISE OF SOFTWARE DEPENDENCIES 1. ソフトウェア依存のサプライチェーン侵害
WHAT IF… もしも...
State-sponsored actors insert a backdoor in a well-known and popular open-source library on online code repository. They use this to infiltrate information from most major European corporations and use the information to blackmail leaders, espionage, or otherwise initiate disruptions across the EU. 国家に支援されたアクターが、オンラインコードリポジトリ上の有名で人気のあるオープンソースライブラリにバックドアを挿入する。彼らはこれを利用して、欧州のほとんどの大企業の情報に侵入し、その情報を使ってリーダーを脅迫したり、スパイ活動を行ったり、あるいはEU全域に混乱を引き起こす。
More integrated components and services from third party suppliers and partners could lead to novel and unforeseen vulnerabilities with compromises on the supplier and customer side. サードパーティーのサプライヤーやパートナーから提供されるコンポーネントやサービスがさらに統合されれば、サプライヤー側と顧客側で危殆化し、斬新で予期せぬ脆弱性につながる可能性がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored groups, criminal organisations 国家支援グループ、犯罪組織
POTENTIAL METHODS  潜在的手法 
Sabotage, theft, network reconnaissance, malicious code, abuse of information leakage 妨害工作、窃盗、ネットワーク偵察、悪質コード、情報漏洩の悪用
POTENTIAL IMPACTS  潜在的影響 
Disruption, malfunction, data loss, data leakage 混乱、故障、データ損失、データ漏洩
2. ADVANCED DISINFORMATION CAMPAIGNS  2. 高度な偽情報キャンペーン 
WHAT IF… もし...
A state-sponsored actor may impersonate a political rival by using deepfakes and spoofing the candidate’s digital identity, significantly impacting election results. 国家に支援されたアクターが、ディープフェイクを使用し、候補者のデジタル・アイデンティティを詐称することで、政敵になりすまし、選挙結果に大きな影響を与える可能性がある。
Deepfake attacks can manipulate communities for (geo) political reasons and for monetary gain. ディープフェイク攻撃は、(地理的)政治的理由や金銭的利益のためにコミュニティを操作することができる。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored groups, criminal organisations, hackitvists 国家支援グループ、犯罪組織、ハクティビスト
POTENTIAL METHODS  潜在的手法 
Fraud, unauthorised access, session hijacking, identity theft, abuse of personal data 詐欺、不正アクセス、セッションハイジャック、なりすまし、個人データの悪用
POTENTIAL IMPACTS  潜在的影響 
Distrust, disinformation, financial damage, foreign information manipulation and interference (FIMI) 不信、偽情報、金銭的被害、外国による情報操作・妨害(FIMI)
3. RISE OF DIGITAL SURVEILLANCE AUTHORITARIANISM / LOSS OF PRIVACY 3. デジタル監視の権威主義の台頭/プライバシーの喪失
WHAT IF… もし...
An authoritarian regime uses their power to retrieve databases of information about individuals who have visited their country, participated in anti-government protests, put them on a watch list, from both public and private entities. They track all those who and subsequently are able to manipulate those individuals’ access to national services like voting, visits to their healthcare providers, or access to other online services.  権威主義政権が権力を行使して、自国を訪問した個人、反政府デモに参加した個人、監視リストに登録された個人に関する情報を、公的・私的事業体の両方からデータベース化する。そして、投票、医療プロバイダへの訪問、その他のオンラインサービスへのアクセスといった国家サービスへのアクセスを操作することができる。
Facial recognition, digital surveillance on internet platforms or digital identities data stores may become a target for criminal groups. 顔認識、インターネット・プラットフォーム上のデジタル監視、デジタル・アイデンティティ・データ・ストアは、犯罪集団の標的になる可能性がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored groups, criminal organisations 国家支援グループ、犯罪組織
POTENTIAL METHODS  潜在的手法 
Man in the middle, malicious software, use of rogue certificates, abuse of personal data 中間者、悪意のあるソフトウェア、不正な証明書の使用、個人データの悪用
POTENTIAL IMPACTS  潜在的影響 
Privacy breaches, human rights abuses プライバシー侵害、人権侵害
4. HUMAN ERROR AND EXPLOITED LEGACY SYSTEMS WITHIN CYBER PHYSICAL ECOSYSTEMS  4. サイバーフィジカル・エコシステム内のヒューマンエラーと悪用されたレガシーシステム 
WHAT IF… もしも...
Manuals for all legacy OT equipment are available online and studied primarily by state-sponsored groups. Once a vulnerability is found, they target user devices or other IoT products used at the plant. Cyber criminals begin a new form of ransomware in which they bring down important infrastructure and demand payment, given that the operator likely lacks the resources to solve the issue themselves. すべてのレガシーOT機器のマニュアルがオンラインで入手可能で、主に国家支援グループによって研究されている。脆弱性が発見されると、工場で使用されているユーザー機器や他のIoT製品を標的にする。サイバー犯罪者は、重要なインフラをダウンさせ、オペレータが自分で問題を解決するリソースがない可能性が高いことを理由に、支払いを要求する新しい形のランサムウェアを始める。
The fast adoption of IoT, the need to retrofit legacy systems and the ongoing skill shortage could lead to a lack of knowledge, training and understanding of the cyberphysical ecosystem, which can lead to security issues. IoTの急速な普及、レガシーシステムの改修の必要性、継続的なスキル不足は、サイバーフィジカルエコシステムに関する知識、トレーニング、理解の不足につながり、セキュリティ問題に発展する可能性がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored groups, cyber criminals, hacktivists 国家支援グループ、サイバー犯罪者、ハクティビスト
POTENTIAL METHODS  潜在的手法 
Tampering, failure of communication links, denial of service, malicious activity, manipulation of information, targeted attacks, brute force, unauthorised physical access 改ざん、通信回線の障害、サービス拒否、悪意ある活動、情報操作、標的型攻撃、総当たり攻撃、無許可の物理的アクセス
POTENTIAL IMPACTS  潜在的影響 
Malfunction, failures and outages, physical damage 誤動作、故障、停止、物理的損害
5. TARGETED ATTACKS (E.G. RANSOMWARE) ENHANCED BY SMART DEVICE DATA 5. スマートデバイスのデータによって強化される標的型攻撃(ランサムウェアなど)
WHAT IF… もしも...
Cybercriminals may use the increased amount of available data from smart devices and analyse it with AI to create behavioral models of their victims for spear phishing campaigns or stalking. サイバー犯罪者は、スマートデバイスから得られる利用可能なデータ量の増加を利用し、それをAIで分析して被害者の行動モデルを作成し、スピアフィッシングキャンペーンやストーキングを行う可能性がある。
Through data obtained from internet-connected smart devices, attackers can access information for tailored and more sophisticated attacks. インターネットに接続されたスマートデバイスから得られるデータを通じて、攻撃者は、カスタマイズされたより高度な攻撃のための情報にアクセスすることができる。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
Cybercrime actors, hackers-for-hire サイバー犯罪関係者、雇われハッカー
POTENTIAL METHODS  潜在的手法 
Denial of service, interception of information, social engineering, unauthorised activities, data breach サービス拒否、情報傍受、ソーシャル・エンジニアリング、不正行為、データ侵害
POTENTIAL IMPACTS  潜在的影響 
Financial damage, privacy breaches 金銭的被害、プライバシー侵害
6. LACK OF ANALYSIS AND CONTROL OF SPACEBASED INFRASTRUCTURE AND OBJECTS 6. 宇宙を拠点とするインフラや物体の分析と制御の欠如
WHAT IF… もし...
State-sponsored attackers access space infrastructure, build up presence to execute attacks. Their aim may be to create infrastructure their capabilities and knowledge of the technology, and secure their malfunctions as a statecraft tool to sabotage other governments or commercial space operations and systems during geopolitical conflicts. 国家に支援された攻撃者が宇宙インフラにアクセスし、攻撃を実行するためのプレゼンスを構築する。彼らの狙いは、地政学的な対立の中で、他国政府や民間企業の宇宙事業やシステムを妨害するための国家工作ツールとして、その能力や技術に関する知識をインフラに蓄積し、その機能不全を確保することかもしれない。
Due to the intersections between private and public infrastructure in space, the security of these new infrastructures and technologies need to be investigated as a lack of understanding, analysis and control of space-based infrastructure can make it vulnerable to attacks and outages. 宇宙における私的インフラと公的インフラが交錯しているため、宇宙ベースのインフラに対する理解、分析、管理の欠如が攻撃や機能停止に対する脆弱性を生む可能性があるため、これらの新しいインフラや技術の安全性を調査する必要がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored actors, cybercrime actors, hackers-for-hire 国家に支援されたアクター、サイバー犯罪アクター、雇われハッカー
POTENTIAL METHODS  潜在的手法 
Unauthorised use of IPR protected resources, targeted attacks, fraud, sabotage, information leakage, session hijacking, malicious software 知的財産権で保護されたリソースの不正使用、標的型攻撃、詐欺、妨害行為、情報漏洩、セッションハイジャック、悪意のあるソフトウェア
POTENTIAL IMPACTS  潜在的影響 
Damage, outages, malfunctions 損害、停止、不具合
7. RISE OF ADVANCED HYBRID THREATS 7. 高度なハイブリッド型脅威の台頭
WHAT IF… もし...
Hackers are hired by a corporation to investigate the new technology being developed by a competitor. In their quest, they are able to retrieve metadata, view code, and set up a machine learning algorithm that continuously collects changes to the code and then continuously accesses user account to prevent monitoring systems from recognising that the attacker is in the network. In parallel they obfuscate the activity by spreading fake news about insider trading and industrial espionage from a third competitor by dropping fake evidence of physical intrusion. ハッカーが企業に雇われ、競合他社が開発中の新技術を調査する。その調査において、彼らはメタデータを取得し、コードを閲覧し、コードへの変更を継続的に収集する機械学習アルゴリズムをセットアップすることができ、監視システムが攻撃者がネットワーク内にいることを認識できないように、ユーザーアカウントに継続的にアクセスする。並行して、物理的な侵入の偽の証拠を投下することで、インサイダー取引や第三の競争相手からの産業スパイに関する偽ニュースを拡散し、活動を難読化する。
Physical or offline attacks are evolving and becoming often combined with cyberattacks due to the increase of smart devices, cloud usage, online identities and social platforms. 物理的またはオフラインの攻撃は進化しており、スマートデバイス、クラウド利用、オンラインID、ソーシャルプラットフォームの増加により、サイバー攻撃と組み合わされることが多くなっている。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored actors, hackers-for-hire, cyber criminals 国家に支援された行為者、雇われハッカー、サイバー犯罪者
POTENTIAL METHODS  潜在的手法 
Unauthorised access, social engineering, abuse of personal data, remote command execution, malicious activity 不正アクセス、ソーシャルエンジニアリング、個人データの悪用、リモートコマンド実行、悪意のある活動
POTENTIAL IMPACTS  潜在的影響 
Privacy breaches, outages, failures/malfunctions プライバシー侵害、機能停止、故障/誤動作
8. SKILL SHORTAGES 8. スキル不足
WHAT IF… もし...
The skill shortage leads to an increase of online job advertisements that tell attackers the technologies that each organisation is using and the approximate number of empty positions. A state-sponsored actor may use this to their advantage as a part of a larger campaign to tamper with critical infrastructure in another country. スキル不足により、攻撃者に各組織が使用している技術や、おおよその空席数を伝えるオンライン求人広告が増加する。国家の支援を受けた攻撃者が、他国の重要インフラを改ざんする大規模なキャンペーンの一環として、これを利用する可能性がある。
Lack of capacities and competencies could see cybercriminal groups target organisations with the largest skills gap and the least maturity. 能力やコンピテンシーが不足しているため、サイバー犯罪グループは、スキルのギャップが最も大きく、成熟度が最も低い組織を標的にする可能性がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
Cybercrime actors, hackers-for-hire, state-sponsored actors サイバー犯罪行為者、雇われハッカー、国家に支援された行為者
POTENTIAL METHODS  潜在的手法 
Spear phishing attacks, social engineering スピアフィッシング攻撃、ソーシャルエンジニアリング
POTENTIAL IMPACTS  潜在的影響 
Financial damage, outages 金銭的被害、障害
9. CROSS-BORDER ICT SERVICE PROVIDERS AS A SINGLE POINT OF FAILURE  9. 単一障害点としての国境を越えたICTサービスプロバイダ 
WHAT IF… もし...
A state-sponsored actor aims to temporarily cripple a region during an active conflict by installing malware that disrupts all critical functions of the ICT provider. Without operational cities, roadways, and communication channels, the region is essentially crippled without the ability for civilians to go about their daily lives and the responsible parties limited in their ability to maintain defense monitoring systems and to collaborate to develop response options and methods for bringing the necessary systems back online.   国家に支援された行為者が、ICTプロバイダのすべての重要な機能を停止させるマルウェアをインストールすることで、活発な紛争中に一時的に地域を機能不全に陥れることを狙う。運用可能な都市、道路、コミュニケーション・チャネルがなければ、その地域は実質的に機能不全に陥り、市民は日常生活を送ることができなくなる。また、責任者は防衛監視システムを維持し、必要なシステムをオンラインに戻すための対応オプションや方法を共同で開発する能力が制限される。 
ICT sector connecting critical services such as transport, electric grids and industry that provide services across borders are likely be to targeted by techniques such as backdoors, physical manipulation, and denials of service and weaponised during a future potential conflict. 輸送、電力網、国境を越えてサービスを提供する産業など、重要なサービスをつなぐICTセクターは、バックドア、物理的操作、サービス拒否などの技術によって標的にされ、将来の潜在的紛争時に武器化される可能性が高い。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored actors, hackers-for-hire 国家に支援されたアクター、雇われハッカー
POTENTIAL METHODS  潜在的手法 
Fraud, theft, corruption, terrorist attack, network traffic manipulation, manipulation of hardware or software, abuse of authorisations 詐欺、窃盗、汚職、テロ攻撃、ネットワークトラフィックの操作、ハードウェアやソフトウェアの操作、権限の乱用
POTENTIAL IMPACTS  潜在的影響 
Outages, damage/loss, unavailable critical infrastructure 障害、損害/損失、重要インフラの利用不能
10. ARTIFICIAL INTELLIGENCE ABUSE 10. AIの悪用
WHAT IF… もし...
A state-sponsored actor wants to sow discord in a population before an election and manipulates the learning data of a law enforcement algorithm to target specific populations, causing widespread protests political opponents themselves by using an AI analysis of the individuals’ and violence. They are also able to deduct information about the whereabouts, health history, and voting history – the correlation of such personal data will likely only be feasible with the use of AI tools. 国家に支援された行為者が、選挙前に住民に不和の種をまきたいと考え、法執行アルゴリズムの学習データを操作して特定の集団を標的にし、個人のAI分析を利用して政治的反対者自身に広範な抗議を引き起こし、暴力を振るう。彼らはまた、居場所、健康履歴、投票履歴に関する情報を差し引くことができる。このような個人データの相関関係は、おそらくAIツールの使用でしか実現できないだろう。
Manipulation of AI algorithms and training data can be used to enhance nefarious activities such as the creation of disinformation and fake content, bias exploitation, collecting biometrics and other sensitive data, military robots and data poisoning. AIアルゴリズムや訓練データの操作は、偽情報や偽コンテンツの作成、バイアスの搾取、生体データやその他の機密データの収集、軍事ロボットやデータポイズニングといった悪質な活動を強化するために利用できる。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored actors, cyber criminals, hackers-for-hire 国家に支援された行為者、サイバー犯罪者、雇われハッカー
POTENTIAL METHODS  潜在的手法 
Spoofing, denial of service, malicious code, unauthorised access, targeted attacks, misuse of information, man in the middle attack なりすまし、サービス妨害、悪質コード、不正アクセス、標的型攻撃、情報の悪用、中間者攻撃
POTENTIAL IMPACTS  潜在的影響 
Biased decision-making, privacy violations, foreign information manipulation and interference (FIMI) 偏った意思決定、プライバシー侵害、外国人による情報操作と干渉(FIMI)
2030 TOP THREATS CONTINUED 2030年トップレベルの脅威 続き
11. INCREASED DIGITAL CURRENCY-ENABLED CYBERCRIME 11. デジタル通貨を利用したサイバー犯罪の増加
By 2030, digital currency-enabled cybercrime will increase rapidly. Cryptocurrencies, and the broad market adoption of them, already have enabled organised crime to expand their reach. Because digital currencies will be very commonly used as an investment asset and means of payment in European markets, organised crime may be able to expand their targets. This means that cybercrime groups offering professional services (cyber-attacks) will be better funded because of an increase in the efficiency and effectiveness of their efforts.   2030年までに、デジタル通貨を利用したサイバー犯罪が急増する。暗号通貨とその広範な市場導入は、すでに組織犯罪の勢力拡大を可能にしている。デジタル通貨は欧州市場で投資資産や決済手段としてごく一般的に使用されるようになるため、組織犯罪はターゲットを拡大できる可能性がある。つまり、専門的なサービス(サイバー攻撃)を提供するサイバー犯罪グループは、その努力の効率と効果が高まるため、より良い資金を得ることができるようになる。 
12. EXPLOITATION OF E-HEALTH (AND GENETIC) DATA 12. eヘルス(および遺伝子)データの悪用
The amount of genetic and health data increases tremendously by 2030 and is in the hands of many stakeholders in the public and private sectors. Vulnerabilities in e-health devices and databases containing very sensitive and/or genetic information may be exploited or used by criminals to target individuals or by governments to control populations, e.g., using diseases and genetic diversity as a reason for discriminating against individuals. Genetic data may further be abused to aid law enforcement activities like predictive policing or to support a more regimented social credit system.   遺伝子データや健康データは2030年までに途方もなく増加し、官民の多くの利害関係者の手に渡る。非常にセンシティブかつ/または遺伝的な情報を含むe-ヘルス機器やデータベースの脆弱性が悪用されたり、犯罪者が個人を標的にしたり、政府が個人を差別する理由として病気や遺伝的多様性を利用するなど、集団をコントロールするために利用されたりする可能性がある。遺伝子データはさらに、予測的取り締まりのような法執行活動を支援するためや、より統制された社会的信用システムを支援するために悪用されるかもしれない。 
13. TAMPERING WITH DEEPFAKE VERIFICATION SOFTWARE SUPPLY CHAIN 13. ディープフェイク検証ソフトウェアのサプライチェーンの改ざん
By 2030, deepfake technology will be widely used. It may be used as a form of harassment, evidence tampering, and provoking social unrest. Although there will likely be a rapid influx of verification software that analyses videos and voice to verify the identity of individuals , the urgent market demand leads to programmers cutting corners. This software will be highly targeted by anyone wishing to use deepfakes for illegal or unethical purposes. 2030年までに、ディープフェイク技術は広く使われるようになるだろう。嫌がらせ、証拠改ざん、社会不安の誘発といった形で利用されるかもしれない。動画や音声を分析し、個人の身元を確認する検証ソフトウェアが急速に普及するだろうが、市場の需要が急増しているため、プログラマーは手抜きをするようになる。このソフトウェアは、違法または非倫理的な目的のためにディープフェイクを利用しようとする人々から強く狙われることになるだろう。
14. ATTACKS USING QUANTUM COMPUTING 14. 量子コンピューティングを利用した攻撃
In 2030 quantum computing resources will be made more widely available, allowing threat actors to use quantum computing to attack existing deployments of public key cryptography. Likewise, there is a risk that threat actors collect sensitive encrypted data now, aiming to decrypt it once quantum computing is accessible. This is especially relevant for current digital IDs that use asymmetric cryptography to authenticate. 2030年には量子コンピューティング資源がより広く利用できるようになり、脅威行為者が量子コンピューティングを利用して既存の公開鍵暗号を攻撃できるようになる。同様に、脅威行為者が暗号化された機密データを収集し、量子コンピューティングが利用可能になった時点で復号化を狙うリスクもある。これは特に、本人認証に非対称暗号を使用している現在のデジタルIDに関連している。
15. EXPLOITATION OF UNPATCHED AND OUT-OFDATE SYSTEMS WITHIN THE OVERWHELMED CROSSSECTOR TECH ECOSYSTEM  15. 圧倒的なクロスセクター技術エコシステムの中での、パッチ未適用や最新でないシステムの悪用
Everything-as-a-service leads to a multitude of tools and services that require frequent updates and maintenance by both consumers and providers. This combined with the skill shortage presents a difficult to manage surface of vulnerabilities that can be exploited by threat actors. Furthermore, the complexity of the supply chain fosters confusion on where responsibilities for security lie. For governments, this creates more backdoors for espionage while cyber-criminals can exploit the unpatched and outdated services for financial gains. This is especially true when critical infrastructure is in the hands of the private sector or when national security data is reliant on singular private entities.  あらゆるものがサービス化されることで、消費者とプロバイダの両方が頻繁な更新と保守を必要とするツールやサービスが多数存在することになる。これがスキル不足と組み合わさることで、脅威行為者に悪用される可能性のある脆弱性の管理は難しくなる。さらに、サプライチェーンの複雑さは、セキュリティ責任の所在に関する混乱を助長する。ガバナンスの政府にとっては、スパイ活動のためのバックドアが増える一方で、サイバー犯罪者はパッチの適用されていない旧式のサービスを悪用して金銭的利益を得ることができる。これは、重要インフラが民間の手にある場合や、国家セキュリティデータが特異な民間事業体に依存している場合に特に当てはまる。
16. AI DISRUPTING / ENHANCING CYBER ATTACKS 16. AIによるサイバー攻撃の撹乱・強化 
Escalation as a result of AI-based tools. Attackers will use AI-based technologies to launch attacks. In order to defend against those attacks and even to launch counter measures, there must also be defensive AI-based weapons. Behaviour of the AI in these cases is difficult to test, measure and control – if speed of response is valued.  AIベースのツールによるエスカレーション。攻撃者はAIベースのテクノロジーを使って攻撃を仕掛けるだろう。それらの攻撃を防御し、さらには対抗策を打ち出すためには、AIベースの防御兵器も存在しなければならない。このような場合のAIの挙動は、テスト、測定、制御が困難である。
17. MALWARE INSERTION TO DISRUPT FOOD PRODUCTION SUPPLY CHAINE 17. 食品製造のサプライチェーンを混乱させるマルウェアの挿入 
Due to increased automatisation and digitalization of food production, food supply chains  can be disrupted by a range of threat actors with medium-high resources. Denial of service attacks on packaging plants, for example, can prevent continued food operations; processed food manufacturing tools may be manipulated to change the compounds in the food itself. Attacks like these can lead to a food shortage, economic disruptions, and in the worst case, poisoning. 食品生産の自動化とデジタル化の進展により、食品サプライ・チェーンは、中程度の高いリソースを有するさまざまな脅威行為者によっ て混乱させられる可能性がある。例えば包装工場に対するサービス拒否攻撃は、食品の操業の継続を妨げる可能性がある。加工食品製造ツールは、食品自体の化合物を変更するために操作される可能性がある。このような攻撃は、食糧不足、経済的混乱、最悪の場合は中毒につながる可能性がある。
18. TECHNOLOGICAL INCOMPATIBILITY OF BLOCKCHAIN TECHNOLOGIES 18. ブロックチェーン技術の技術的非互換性
Until 2030, several regionally based blockchain technologies are created by different groups of governments to create an international "gold standard". This is driven by a societal lack of trust in blockchain that has accumulated over the last years.  Each technology group aims to gain a competitive advantage. This gives rise to a period of technological incompatibility of blockchain technology which leads to failures, malfunctions, data loss and the exploitation of vulnerabilities at the interfaces of the different blockchains. This creates challenges for ecosystem management and data protection, furthers distrust, and negatively affects trade and GDP growth. 2030年まで、国際的な "ゴールドスタンダード "を作るために、いくつかの地域ベースのブロックチェーン技術が異なる政府グループによって作られる。この背景には、ここ数年で蓄積されたブロックチェーンに対する社会的信頼の欠如がある。 各技術グループは競争上の優位性を獲得することを目指している。このため、ブロックチェーン技術の技術的な互換性がない時期が生じ、故障や誤動作、データ損失、異なるブロックチェーンのインターフェースにおける脆弱性の悪用につながる。これはエコシステム管理とデータ保護に課題をもたらし、不信感を助長し、貿易とGDP成長に悪影響を及ぼす。
19. DISRUPTIONS IN PUBLIC BLOCKCHAINS 19. パブリック・ブロックチェーンにおける混乱
Blockchain has been implemented in nearly all aspects of society in 2030. Unfortunately, security expertise in the area of blockchain did not advance significantly, creating a slew of vulnerabilities that may be exploited in the future. Locally unavailable blockchain technology will, for example, prevent access to voting, legal transactions, and even security systems. Another possible attack vector is exploited by partitioning the bitcoin network by hijacking IP address prefixes. This can cause, for example, duplicated spending and thus economic damage. ブロックチェーンは2030年、社会のほぼすべての側面に導入されている。残念なことに、ブロックチェーンの分野におけるセキュリティの専門知識は大きく進歩しておらず、将来悪用される可能性のある脆弱性が山ほど生まれている。ローカルで利用不可能なブロックチェーン技術は、例えば、投票、法的取引、さらにはセキュリティシステムへのアクセスを妨げるだろう。また、IPアドレスのプレフィックスをハイジャックしてビットコインネットワークを分割することで、攻撃ベクトルが悪用される可能性もある。これは、例えば重複支出を引き起こし、結果として経済的損害をもたらす可能性がある。
20. PHYSICAL IMPACT OF NATURAL / ENVIRONMENTAL DISRUPTIONS ON CRITICAL DIGITAL INFRASTRUCTURE 20. 自然/環境破壊が重要なデジタルインフラに与える物理的影響
The increased severity and frequency of environmental disasters causes several regional outages. Redundant back-up sites that maintain the availability of critical infrastructure will also be affected. 環境災害の深刻さと頻度が増すと、いくつかの地域で停電が発生する。重要インフラの可用性を維持する冗長バックアップサイトも影響を受ける。
21. MANIPULATION OF SYSTEMS NECESSARY FOR EMERGENCY RESPONSE 21. 緊急対応に必要なシステムの操作
Manipulation of sensors with connections to emergency services may overload services like ambulances, police, firefighters, etc. For example, call centres may be overloaded with inauthentic calls or fire alarms may be manipulated to injure specific individuals or to obscure emergency response teams' ability to locate the issue. Similarly, mass panics that overload emergency systems may also be provoked through the use of social media.  緊急サービスにつながるセンサーの操作は、救急車、警察、消防士などのサービスに過負荷をかける可能性がある。例えば、コールセンターが不正なコールで過負荷になったり、火災報知器が特定の個人を傷つけたり、緊急対応チームが問題の場所を特定できないように操作されたりする可能性がある。同様に、緊急システムに過負荷をかけるような大パニックも、ソーシャルメディアの利用によって引き起こされる可能性がある。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.04 ENISA 先見の明 2030年に向けたサイバーセキュリティの脅威 (2023.03.29)

 

| | Comments (0)

英国 ICO 子供を守るための情報共有のための10ステップガイド (2023.09.14)

こんにちは、丸山満彦です。

英国の情報コミッショナーオフィス (ICO) が子供を守るために情報共有が重要ということで「子供を守るための情報共有のための10ステップガイド」を公表していますね。。。

米国もK-12のセキュリティというかネットの安全性というか、問題になっていますね。中国も未成年を五段階にわけでルール作りをしようとしていますね。。。

そういえば、こういうのって日本ではどうなっているんですかね。。。

 

Information Commissioner's Office: ICO

・2023.09.14 Share information to protect children and young people at risk, urges UK Information Commissioner

Share information to protect children and young people at risk, urges UK Information Commissioner リスクにさらされている子供や若者を守るために情報を共有せよ、と英国情報コミッショナーは強く求めている。
Organisations will not get in trouble if they share information to protect children and young people at risk of serious harm, the UK Information Commissioner’s Office (ICO) has promised. 深刻な危害を受けるリスクのある子どもや若者を保護するために情報を共有しても、組織がトラブルに巻き込まれることはない、と英国情報コミッショナー事務局(ICO)は約束した。
This message comes as the ICO publishes new guidance to address concerns from organisations and frontline workers that may be scared to share information for fear of falling foul of data protection law. このメッセージは、ICOが、データ保護法に抵触することを恐れて情報を共有することを躊躇している組織や現場の労働者からの懸念に対処するための新しいガイダンスを発表したことによる。
The need to improve data sharing practices has been highlighted in recent serious case reviews in the UK where children have died or been seriously harmed through abuse or neglect. Poor information-sharing among organisations and agencies was identified as one of the factors contributing to failures to protect the children. 英国では、虐待やネグレクトによって子どもが死亡したり、深刻な被害を受けたりした最近の深刻なケースを検証する中で、データ共有の実践を改善する必要性が浮き彫りになっている。組織や機関同士の情報共有が不十分であったことが、子どもたちを保護できなかった要因のひとつであると指摘されている。
“My message to people supporting and working with children and young people is clear: if you think a child is at risk of harm, you can share information to protect them. You will not get in trouble with the ICO for trying to prevent or lessen a serious risk or threat to a child’s mental and physical wellbeing. 「子どもや若者を支援し、共に働く人々への私のメッセージは明確である: 子どもが危害のリスクにさらされていると思えば、子どもを守るために情報を共有することができる。子どもの心身の健康に対する深刻なリスクや脅威を防いだり、軽減しようとしたからといって、ICOの問題に巻き込まれることはない。」
“Data protection law helps organisations share data when required. Our guide will support senior leaders to put strong policies, systems and training in place, so their staff are encouraged and empowered to share data in an appropriate, safe and lawful way.” 「データ保護法は、組織が必要に応じてデータを共有することを支援する。我々のガイドは、シニアリーダーが強力なポリシー、システム、トレーニングを導入し、スタッフが適切で安全かつ合法的な方法でデータを共有するよう奨励され、権限を与えられるよう支援するものである。」
- John Edwards, UK Information Commissioner ・英国情報コミッショナー,ジョン・エドワーズ
Free marketing materials and a video have also been produced to support organisations to raise awareness of the benefits of sharing information to protect children and young people from harm. また、子どもや若者を危害から守るために情報を共有することの利点についての認識を高めるために、組織を支援するための無料のマーケティング資料やビデオも作成された。
The ICO will also develop a suite of guidance on sharing information to safeguard children aimed at specific sectors across the UK, recognising the different legislative and policy landscapes. ICOはまた、英国内の特定のセクターを対象とした、子どもを保護するための情報共有に関する一連のガイダンスを作成する予定である。
For more information visit ico.org.uk/datasharing. 詳細はico.org.uk/datasharingを参照のこと。
1. The Information Commissioner’s Office (ICO) is the UK’s independent regulator for data protection and information rights law, upholding information rights in the public interest, promoting openness by public bodies and data privacy for individuals. 1. 情報コミッショナー事務局(ICO)は、データ保護と情報権利法に関する英国の独立規制機関であり、公共の利益のために情報権利を支持し、公共団体による公開と個人のデータプライバシーを促進する。
2. The ICO has specific responsibilities set out in the Data Protection Act 2018 (DPA2018), the United Kingdom General Data Protection Regulation (UK GDPR), the Freedom of Information Act 2000 (FOIA), Environmental Information Regulations 2004 (EIR), Privacy and Electronic Communications Regulations 2003 (PECR) and a further five acts and regulations. 2. ICOは、データ保護法2018(DPA2018)、英国一般データ保護規則(英国GDPR)、情報公開法2000(FOIA)、環境情報規則2004(EIR)、プライバシーおよび電子コミュニケーション規則2003(PECR)、およびさらに5つの法律と規則に定められた特定の責任を負う。
3. The ICO can take action to address and change the behaviour of organisations and individuals that collect, use, and keep personal information. This includes criminal prosecution, non-criminal enforcement and audit. 3. ICOは、個人情報を収集、使用、保管する組織や個人の行動に対処し、改めるために行動を起こすことができる。これには、刑事訴追、非刑事執行、監査が含まれる。
4. To report a concern to the ICO telephone call our helpline on 0303 123 1113, or go to ico.org.uk/concerns 4. ICOのヘルプライン(0303-123-1113)に通報するか、ico.org.uk/concernsにアクセスする。

 

ガイダンスはこちら...

・2023.09.14 A 10 step guide to sharing information to safeguard children

A 10 step guide to sharing information to safeguard children 子どもを守るための情報共有のための10ステップガイド
Step 1: Be clear about how data protection can help you share information to safeguard a child. ステップ1:児童を保護するためにデータ保護がどのように情報共有に役立つかを明確にする。
Step 2: Identify your objective for sharing information, and share the information you need to, in order to safeguard a child. ステップ2:情報共有の目的を明確にし、子どもを保護するために必要な情報を共有する。
Step 3: Develop clear and secure policies and systems for sharing information. ステップ3:情報を共有するための明確で安全な方針とシステムを策定する。
Step 4: Be clear about transparency and individual rights. ステップ4:透明性と個人の権利を明確にする。
Step 5: Assess the risks and share as needed. ステップ5:リスクをアセスメントし、必要に応じて共有する。
Step 6: Enter into a data sharing agreement. ステップ6:データ共有契約を結ぶ。
Step 7: Follow the data protection principles. ステップ7:データ保護の原則に従う。
Step 8: Share information using the right lawful basis. ステップ8:正しい合法的根拠に基づいて情報を共有する。
Step 9: Share information in an emergency. ステップ9:緊急時に情報を共有する。
Step 10: Read our data sharing code of practice. ステップ10 データ共有の実践規範を読む。

 

情報共有ツール。。。

Sharing information to safeguard children: Marketing materials

・・[PDF] チラシ

20230919-181008

 

・・[PDF] ポスター

20230919-181217

・・ビデオ

 

それから

ロンドン大学の一部となった元研究大学である、ロンドン・スクール・オブ・エコノミクス・アンド・ポリティカル・サイエンス (London School of Economics and Political Science; LSE [wikipedia])からも次のような報告書がでていますね。。。

London School of Economics and Political Science; LSE

・[PDF] Children’s data and privacy online Growing up in a digital age

20230920-21808

 


 

米国のK-12セキュリティ。。。

CISA

Cybersecurity for K-12 Education

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

 

米国

・2023.09.08 米国 CISA 幼稚園から高校まで (K-12) への教育ソフト開発会社とセキュア・バイ・デザインの誓約をかわす (2023.09.05)

・2023.08.14 米国 K-12(幼稚園から高校まで)の学校のサイバーセキュリティを強化する新たな取り組みを開始 (2023.08.07)

・2023.08.02 米国 国家サイバー人材・教育戦略

2. Transform Cyber Education – address the immediate demand for a skilled cyber  workforce while also preparing learners to meet the future needs of a dynamic  technological environment:  2. サイバー教育の変革 - 熟練したサイバー労働力に対する当面の需要に対応すると同時に、ダイナミックな技術環境の将来のニーズに対応できるように学習者を準備する: 
o Build and leverage ecosystems to improve cyber education, from K-12 education,  to higher education, community colleges, and technical schools;  o K-12教育から高等教育、コミュニティカレッジ、専門学校に至るまで、サイバー教育を改善するためのエコシステムを構築し、活用する; 
o Expand competency-based cyber education;   o コンピテンシーベースのサイバー教育の拡大
o Invest in educators and improving cyber education systems; and,  o 教育者への投資とサイバー教育システムの改善 
o Make cyber education and training more affordable and accessible.  o サイバー教育とトレーニングをより手頃な価格で利用しやすくする。 

 

・2022.12.03 米国 GAO K-12(幼稚園から高校まで)の学校へのサイバー攻撃が増加している...その対応は?

・2022.10.22 米国 GAO 重要インフラの防御:K-12サイバーセキュリティを強化するためには、連邦政府のさらなる調整が必要である。

・2021.10.12 米国 K-12サイバーセキュリティ法2021

 

英国

・2023.02.19 英国 情報コミッショナー事務局 (ICO) がゲーム開発者向けに、子どもの保護に関する業界向けのガイダンスを発行

 

中国

・2023.08.17 中国 「未成年者向けモバイルインターネットモデル構築ガイドライン(意見募集案)」 (2023.08.02)

年齢 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
区分 1 2 3 4 5
利用時間 40分以内 1時間 2時間
連続利用 未成年者が30分以上連続して携帯情報端末を使用する場合、携帯情報端末は休息通知を発すること
時間帯 22:00から翌日6:00までの間、携帯情報端末は未成年者に対してサービスを提供することができない
推奨コンテンツ 童謡、啓蒙教育などの親子連れの番組を推奨コンテンツとし、音声を重視することを推奨する 啓蒙教育、興味と識字、一般教育などの番組を推奨する 一般教育、科学の知識と普及、ライフスキル、積極的な指導を伴う娯楽コンテンツ、この年齢層の認知能力に適したニュースや情報など 一般教育、教科教育、科学の知識と普及、ライフスキル、積極的な指導による娯楽コンテンツ、この年齢層の認知能力に適したニュースや情報 この年齢層の認知能力に適した、健康で上向きの情報コンテンツを推奨する
アプリダウンロード 未成年者向けゾーンでアプリケーションをダウンロードおよびインストールするには保護者の同意が必要であり、保護者は未成年者が未成年者向けゾーン外でアプリケーションをダウンロードすることを許可する一定の免除権限を有する 未成年者向けゾーンでアプリケーションをダウンロードおよびインストールするには保護者の同意が必要であり、保護者は未成年者が未成年者向けゾーン外でアプリケーションをダウンロードすることを許可する一定の免除権限を有する

これ以外には、未成年モードではゲーム、ソーシャルネットワーク、コンテンツ、広告等についての規制がある。。。

 

インド

個人情報保護法では、児童について規定があります。。。

・2023.08.23 インド デジタル個人データ保護法成立(2023年)(2023.08.11)

(Processing of personal data of children.)  (児童の個人データの処理) 
9. (1) The Data Fiduciary shall, before processing any personal data of a child or a person with disability who has a lawful guardian obtain verifiable consent of the parent of such child or the lawful guardian, as the case may be, in such manner as may be prescribed. Explanation.—For the purpose of this sub-section, the expression “consent of the parent” includes the consent of lawful guardian, wherever applicable. 9. (1) データ受託者は、児童または正当な保護者を持つ障害者の個人データを処理する前に、当該児童の親または正当な保護者の検証可能な同意を、場合により、所定の方法で取得しなければならない。解説:本款の目的上、「親の同意」という表現には、適用法であれば、正当な保護者の同意が含まれる。
(2) A Data Fiduciary shall not undertake such processing of personal data that islikely to cause any detrimental effect on the well-being of a child. (2) データ受託者は、児童の幸福に有害な影響を及ぼす可能性のある個人データの処理 を行ってはならない。
(3) A Data Fiduciary shall not undertake tracking or behavioural monitoring of childrenor targeted advertising directed at children. (3) データ受託者は、児童の追跡または行動監視、または児童を対象とした広告を行わないものとする。
(4) The provisions of sub-sections (1) and (3) shall not be applicable to processing of personal data of a child by such classes of Data Fiduciaries or for such purposes, and subject to such conditions, as may be prescribed. (4) 第(1)項および第(3)項の規定は、データ受託者の種類によって、またはそのような目的のために、およびそのような条件に従って、児童の個人データを処理する場合には適用されないものとする。
(5) The Central Government may, if satisfied that a Data Fiduciary has ensured that itsprocessing of personal data of children is done in a manner that is verifiably safe, notify for such processing by such Data Fiduciary the age above which that Data Fiduciary shall be exempt from the applicability of all or any of the obligations under sub-sections (1) and (3) in respect of processing by that Data Fiduciary as the notification may specify. (5) 中央政府は、データ受託者が児童の個人データの処理を検証可能な安全な方法で行っていることを確認した場合、当該データ受託者による処理について、当該データ受託者による処理に関する第(1)号および第(3)号に基づく義務の全部または一部の適用が免除される年齢を、通知で指定することができる。

 

日本...

・2022.03.05 文部科学省 教育情報セキュリティポリシーに関するガイドライン

 

 

 

AIですが。。。

国連

・2023.07.21 国連 地域間犯罪司法研究所 子供のためにより安全に;捜査機関向けのAI研修が開始された

 

米国

・2023.03.14 米国商工会議所 人工知能報告書

 

日本

・2023.07.06 文部科学省 生成AIの利用について 「初等中等教育段階における生成AIの利用に関する暫定的なガイドライン」

 

| | Comments (0)

2023.09.19

米国 国防総省サイバー戦略 2023(要約)(2023.09.12)

こんにちは、丸山満彦です。

国防総省がサイバー戦略2023の要約を公表していますね。。。フルバージョンは、非公開のようです。これは、2018年の国防総省サイバー戦略に続くもので、2021年に公表された国家安全保障戦略、国家防衛戦略、国家サイバーセキュリティ戦略を国防総省に落としたものという感じですね。。。記載されている対象はあくまでもサイバー領域に限定されています。(つまり、全体の作戦の中でのサイバー領域の話だけ切り出してまとめているという感じのようです。)

防衛のサプラチェーンではないですが、米国も各国と連携して動いていることから、他の国の軍隊、防衛産業企業等がサイバー攻撃で侵入されると米国軍にも影響があるということから、パートナーのサイバー防衛能力の強化に力を入れるということのようです。

また、国家防衛戦略の優先順位が、中国、そしてロシアという順番なので、サイバー戦略でも優先順位は同じなのでしょうね。。。中国は当初はロシアにいろいろと学んでいたようですが、すでに独自にさまざまなサイバー能力を獲得、開発していることから、米国にとっては大きな脅威になってきているという認識だと思います。。。

ハント・フォワード作戦についても触れられていて、攻撃者の戦術・技術・運用 (TTP) を公表し、同盟国とともにレジリエンスを高めるということのようですね。。。

 

U.S. Department of Defence

プレスリリース

・2023.09.12 DOD Releases 2023 Cyber Strategy Summary

DOD Releases 2023 Cyber Strategy Summary 国防総省、2023年サイバー戦略の概要を発表
Today, the Department of Defense (DOD) released an unclassified summary of its classified 2023 Cyber Strategy. 本日、国防総省(DOD)は、機密扱いの2023年サイバー戦略の非機密扱いの要約を発表した。
The 2023 DOD Cyber Strategy, which DOD transmitted to Congress in May, is the baseline document for how the Department is operationalizing the priorities of the 2022 National Security Strategy, 2022 National Defense Strategy, and the 2023 National Cybersecurity Strategy. It builds upon the 2018 DOD Cyber Strategy and will set a new strategic direction for the Department. 国防総省が5月に議会に提出した2023年DODサイバー戦略は、2022年国家安全保障戦略、2022年国家防衛戦略、2023年国家サイバーセキュリティ戦略の優先事項をどのように運用するかの基本文書である。この戦略は、2018年のDODサイバー戦略に基づいており、国防総省の新たな戦略的方向性を示すものである。
"This strategy draws on lessons learned from years of conducting cyber operations and our close observation of how cyber has been used in the Russia-Ukraine war," Assistant Secretary of Defense for Space Policy John Plumb said. "It has driven home the need to work closely with our allies, partners, and industry to make sure we have the right cyber capabilities, cyber security, and cyber resilience to help deter conflict, and to fight and win if deterrence fails." 「ジョン・プラム国防次官補(宇宙政策担当)は、「この戦略は、長年にわたるサイバー作戦の実施から得られた教訓と、ロシア・ウクライナ戦争でサイバーがどのように利用されたかをつぶさに観察した結果に基づいている。「同盟国、パートナー、産業界と緊密に協力し、紛争を抑止し、抑止が失敗した場合に戦い、勝利するために、適切なサイバー能力、サイバーセキュリティ、サイバーレジリエンスを確保する必要性を痛感した。
The United States faces diverse, growing threats in cyberspace and the strategy outlines how DOD is maximizing its cyber capabilities in support of integrated deterrence and employing cyberspace operations in concert with other instruments of national power. 米国はサイバー空間における多様で増大する脅威に直面しており、この戦略では国防総省が統合抑止を支援するためにサイバー能力を最大化し、国力の他の手段と協調してサイバー空間作戦を採用する方法を概説している。
The strategy highlights DOD’s actions to invest in and ensure the defense, availability, reliability, and resilience of its cyber networks and infrastructure to support non-DOD agencies in their related roles and to protect the defense industrial base. この戦略では、国防総省のサイバーネットワークとインフラの防御、可用性、信頼性、レジリエンスを確保し、国防総省以外の機関の関連する役割を支援し、防衛産業基盤を保護するための国防総省の行動を強調している。
"Distinct from previous iterations, the strategy commits to increasing our collective cyber resilience by building the cyber capability of allies and partners." Deputy Assistant Secretary for Cyber Policy Mieke Eoyang said. "It also reflects the department’s approach to defending the homeland through the cyber domain as well as prioritizing the integration of cyber capabilities into our traditional warfighting capabilities." 「この戦略では、同盟国やパートナーのサイバー能力を強化することで、われわれの集団的なサイバー・レジリエンスを高めることにコミットしている。ミーケ・エオヤン副次官補(サイバー政策担当)は言う。「この戦略はまた、サイバー領域を通じて国土を防衛し、サイバー能力を伝統的な戦闘能力に統合することを優先するという、防衛省のアプローチを反映している
The strategy is the fourth iteration for the Department, and the first to be informed by years of significant cyberspace operations. You can read the full summary on Defense.gov. この戦略は、国防総省にとって4回目の改訂であり、長年にわたる重要なサイバー空間での作戦に基づく初めてのものである。サマリーの全文はDefense.govで読むことができる。

 

・2023.09.12 DOD's Cyber Strategy Emphasizes Building Partner Capacity

DOD's Cyber Strategy Emphasizes Building Partner Capacity 国防総省のサイバー戦略はパートナーの能力構築を重視する
In May, the Defense Department released to Congress the classified version of the 2023 Cyber Strategy. Today, the department made public an unclassified summary of that strategy which reveals a new emphasis on helping U.S. partners and allies build their own cyber capacity. 国防総省は5月、2023年サイバー戦略の機密版を議会に公表した。今日、国防総省はこの戦略の非機密版要約を公開し、米国のパートナーや同盟国が独自のサイバー能力を構築するのを支援することに新たに重点を置いていることを明らかにした。
"Distinct from previous iterations of the DOD cyber strategy, this strategy commits to building the cyber capability of global allies and partners and to increase our collective resilience against cyber attack," said Mieke Eoyang, the deputy assistant secretary of defense for cyber policy, during a briefing today at the Pentagon. "Allies and partners are a strategic advantage that no competitor can match."  国防総省のサイバー戦略担当副次官補であるミーケ・エオヤン氏は、本日国防総省で行われたブリーフィングの中で、次のように述べた。「この戦略は、これまでの国防総省のサイバー戦略とは異なり、世界の同盟国やパートナーのサイバー能力を構築し、サイバー攻撃に対する集団的レジリエンスを高めることにコミットしている。同盟国やパートナーは、いかなる競争相手も太刀打ちできない戦略的優位性である。」
According to the now publicly available summary of the 2023 Cyber Strategy, the department plans to prioritize efforts to increase the effectiveness of allies and partners in cyberspace.  現在公開されている2023年サイバー戦略の概要によると、同省はサイバー空間における同盟国やパートナーの有効性を高める努力を優先する計画だ。
Spotlight: Engineering in the DOD スポットライト:DODにおけるエンジニアリング
"In some cases, the department will work toward this goal by augmenting partner capacity, expanding partners' access to cybersecurity infrastructure and maturing their cyber workforce though combined training events and exercises," the summary reads.  「場合によっては、パートナーの能力を増強し、パートナーのサイバーセキュリティ・インフラへのアクセスを拡大し、訓練イベントや演習を組み合わせることでサイバー労働力を成熟させることで、この目標に取り組むだろう。
The summary further states the department has also committed, in some cases, to directly helping develop partner capability by enabling functions a partner needs but does not yet have.  同要約はさらに、場合によっては、パートナーが必要としているがまだ持っていない機能を可能にすることで、パートナーの能力開発を直接支援することも約束したと述べている。
"The department will enhance our relationship with our most cyber-capable allies and partners at the strategic, operational and tactical levels," the policy reads. "We will expand the total number of partners with whom we engage and integrate these efforts with the wider security cooperation enterprise."  「同省は、戦略、作戦、戦術の各レベルにおいて、最もサイバー能力の高い同盟国やパートナーとの関係を強化する。我々は、関与するパートナーの総数を拡大し、これらの取り組みをより広範な安全保障協力エンタープライズと統合する。」
More broadly, the summary reveals that the 2023 Cyber Strategy asks the department to address current and future cyber threats by pursuing four complementary lines of effort. These lines of effort include defending the nation, preparing to fight and win the nation's wars, protecting the cyber domain with allies and partners, and building enduring advantages in cyberspace.  より広義には、2023年サイバー戦略では、4つの補完的な取り組みを進めることで、現在および将来のサイバー脅威に対処することを求めている。これらの取り組みには、国家の防衛、国家の戦争に勝利するための準備、同盟国やパートナーとのサイバー領域の保護、サイバー空間における永続的な優位性の構築が含まれる。
"[This] strategy builds upon the direction set by the 2018 DOD Cyber Strategy and is informed by years of real-world experience of significant DOD cyberspace operations," Eoyang said. "It's the department's fourth cyber strategy and represents the secretary's vision for operationalizing the 2022 National Defense Strategy in cyberspace."  「この戦略は、2018年国防総省サイバー戦略によって設定された方向性の上に構築され、国防総省のサイバー空間における重要な活動に関する長年の実体験に基づくものである。これは国防総省にとって4番目のサイバー戦略であり、2022年国防戦略をサイバー空間で運用するための長官のビジョンを表している。」
Spotlight: National Defense Strategy スポットライト:国家防衛戦略
Like the National Defense Strategy, DOD's cyber strategy identifies China as a pacing threat and Russia as an acute threat, Eoyang said.  国防戦略と同様、国防総省のサイバー戦略は、中国をペースの脅威として、ロシアを急性の脅威として識別している。
She also said that the strategy has been informed by recent activities in Ukraine, following the illegal Russian invasion there.  また、この戦略は、ウクライナにおけるロシアの不法侵攻後の最近の活動からも情報を得ているという。
"I think prior to this conflict, there was a sense that cyber would have a much more decisive impact in warfare than what we experienced," she said. "What this conflict has shown us is the importance of integrated cyber capabilities in and alongside other warfighting capabilities. And that is consistent with the approach in the NDS on integrated deterrence and is an important lesson for us to think about -- that cyber is a capability that is best used in concert with those others and may be of limited utility when used all by itself."  彼女はまた、次のように述べた。「この紛争の前には、サイバー戦は我々が経験したものよりもはるかに決定的な影響を与えるという感覚があったと思う。この紛争が私たちに示したのは、他の戦闘能力とともに、サイバー能力を統合することの重要性である。そしてそれは、統合抑止に関するNDSのアプローチと一致するものであり、私たちが考えるべき重要な教訓である。"サイバー能力は、他の能力と協調して使用するのが最善であり、単独で使用した場合の有用性は限定的かもしれない。」
According to the strategy, cyber capabilities are most effective when used in concert with other instruments of national power.  同戦略によれば、サイバー能力は、他の国力の手段と協調して使用されるときに最も効果的である。
Spotlight: Science & Tech スポットライト:科学技術
"In this way, cyberspace operations represent an indispensable element of U.S. and allied military strength and form a core component of integrated deterrence," the strategy reads. 「このように、サイバー空間での作戦は、米国と同盟国の軍事力にとって不可欠な要素であり、統合抑止の中核をなすものである。」

 

 

・[PDF]

20230918-145737

 

目次的...

INTRODUCTION  序文 
NATIONAL DEFENSE STRATEGY PRIORITIES  国家防衛戦略の優先事項 
A CONTESTED CYBERSPACE  争いの絶えないサイバー空間 
People's Republic of China  中華人民共和国 
Russia  ロシア 
North Korea, Iran, and Violent Extremist Organizations  北朝鮮、イラン、暴力的過激派組織 
Transnational Criminal Organizations  国際犯罪組織 
DEFEND THE NATION  国家を守る 
Generate Insights about Cyber Threats  サイバー脅威に関する洞察の創出 
Disrupt and Degrade Malicious Cyber Actors  悪意のあるサイバー行為者を混乱させ、劣化させる。
Enable Defense of US. Critical Infrastructure  米国の重要インフラの防衛を可能にする。
DOD AUTHORITIES AND HOMELAND DEFENSE  国防総省の権限と国土防衛 
Protect the Defense Industrial Base  防衛産業基盤の防御 
DIB CYBERSECURITY  DIBサイバーセキュリティ 
PREPARE TO FIGHT AND WIN THE NATION'S WARS  国家の戦争を戦い勝利する準備をする 
Advance Joint Force Objectives  統合軍の目標を推進する 
Defend the DODIN  DODINを守る 
DEFINING THE DODIN  DODINの定義 
Build Cyber Resilience in the Joint Force  統合軍におけるサイバー・レジリエンスの構築 
Support Joint Force Plans and Operations  統合軍の計画と作戦を支援する 
PROTECT THE CYBER DOMAIN WITH ALLIES AND PARTNERS  同盟国やパートナーとともにサイバー領域を守る。
Build Cyber Capacity and Develop Capability in Allies and Partners  同盟国およびパートナーにおけるサイバー能力の構築と能力開発 
Expand Avenues of Cyber Cooperation  サイバー協力の手段を拡大する。
Continue Hunt Forward Operations and Bilateral Technical Collaboration  ハント・フォワード・オペレーションと二国間技術協力の継続 
Reinforce Norms of Responsible Behavior in Cyberspace  サイバー空間における責任ある行動の規範を強化する。
BUILD ENDURING ADVANTAGES IN CYBERSPACE  サイバー空間における永続的な優位性を構築する 
Invest in the Cyber Workforce  サイバー人材への投資 
Prioritize Intelligence Support for Cyber Operations  サイバー作戦のための情報支援を優先する。
Develop and Implement New Cyber Capabilities  新たなサイバー能力の開発と導入 
Foster Cyber Awareness  サイバー意識の醸成 
CONCLUSION  結論 

 

仮対訳は関連リンク下につけています。。。

 

 


関連リンク

● まるちゃんの情報セキュリティ気まぐれ日記

国家安全保障戦略

・2022.10.14 米国 国家安全保障戦略

ちなみにロシア...

・2021.07.04 ロシア連邦大統領令第400号「ロシア連邦の国家安全保障戦略」を公表

 

国防総省 国家防衛戦略他

・2022.10.29 米国 国家防衛戦略

その下の計画

・2023.08.09 米国 国防総省 サイバー従事能力戦略実施計画

 

国家情報(インテリジェンス)戦略

・2023.08.11 米国 国家情報戦略 2023

 

国家サイバーセキュリティ戦略

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

人材に関して。。。

・2023.08.02 米国 国家サイバー人材・教育戦略

予算優先事項、実行計画。。。

・2023.07.09 米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

 

CISAのサイバーセキュリティ戦略

・2023.08.06 米国 CISA サイバーセキュリティ戦略 FY2024-2026

 


(2023.09.30 追記)

これ参考になります。。。

milterm

・2023.09.29 「サイバー現実主義(cyber realism)」へようこそ:2023年国防省サイバー戦略を解析する (warontherocks.com)

 

 


仮対訳

↓↓↓↓↓





Continue reading "米国 国防総省サイバー戦略 2023(要約)(2023.09.12)"

| | Comments (0)

2023.09.18

米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ

こんにちは、丸山満彦です。

CISAがオープンソース・ソフトウェア・セキュリティ・ロードマップを公開していますね。。。

優先事項は、、、

(1) オープンソースソフトウェアのセキュリティ支援におけるCISAの役割の確立

(2) オープンソースソフトウェアの使用状況とリスクの可視化の推進

(3) 連邦政府に対するリスクの低減

(4) オープンソースエコシステムの強化

 

CISA

・2023.09.12 CISA Open Source Software Security Roadmap

 

CISA Open Source Software Security Roadmap CISAオープンソース・ソフトウェア・セキュリティ・ロードマップ
CISA’s Open Source Software Security Roadmap lays out CISA’s path forward to help ensure a secure open source software ecosystem.  CISAのオープンソース・ソフトウェア・セキュリティ・ロードマップは、安全なオープンソース・ソフトウェアのエコシステムを確保するためのCISAの進むべき道を示している。
Open source software is software that anyone can access, modify, and distribute, which can lead to greater collaboration and higher-quality code. At the same time, vulnerabilities like Log4shell have illustrated the downstream impact for flaws in widely used open source code.  オープンソースソフトウェアは、誰もがアクセスし、変更し、配布できるソフトウェアであり、より大きなコラボレーションとより高い品質のコードをもたらすことができる。同時に、Log4shellのような脆弱性は、広く使われているオープンソース・コードの欠陥が下流に与える影響を示している。
The roadmap lays out four key priorities to help secure the open source software ecosystem: (1) establishing CISA’s role in supporting the security of open source software, (2) driving visibility into open source software usage and risks, (3) reducing risks to the federal government, and (4) hardening the open source ecosystem.  ロードマップは、オープンソースソフトウェアのエコシステムの安全確保を支援するための4つの重要な優先事項を示している。(1) オープンソースソフトウェアのセキュリティ支援におけるCISAの役割の確立、(2) オープンソースソフトウェアの使用状況とリスクの可視化の推進、(3) 連邦政府に対するリスクの低減、(4) オープンソースエコシステムの強化である。

 

・[PDF

20230918-53634

 

 

Overview  概要 
The federal government, critical infrastructure, and state, local, tribal, and territorial (SLTT) governments greatly depend upon open source software (OSS). OSS is software for which the humanreadable source code[1] is made available to the public for use, study, re-use, modification, enhancement, and re-distribution. OSS is part of the foundation of software used across critical infrastructure, supporting every single critical infrastructure sector and every National Critical Function: one study[2] found that 96% of studied codebases across various sectors contain open source code, and 76% of code in studied codebases was open source. Therefore, to fulfill CISA’s mission of understanding, managing, and reducing risks to the federal government and critical infrastructure, we must understand and protect the open source software that we rely upon. 連邦政府、重要インフラ、州・地方・部族・準州(SLTT)政府は、オープンソースソフトウェア(OSS)に大きく依存している。OSSとは、人間が読み取り可能なソースコード[1]が、利用、研究、再利用、修正、拡張、再配布のために一般に公開されているソフトウェアのことである。ある調査[2]によると、さまざまな部門で調査されたコードベースの96%がオープンソースコードを含み、調査されたコードベースのコードの76%がオープンソースであった。したがって、連邦政府と重要インフラに対するリスクを理解し、管理し、削減するというCISAの使命を果たすためには、われわれが依存しているオープンソース・ソフトウェアを理解し、保護しなければならない。
As a public good, open-source software is supported by diverse and wide-ranging communities—which are composed of individual maintainers, non-profit software foundations, and corporate stewards. CISA must integrate into and support these communities, with a particular focus on the critical OSS components that the federal government and critical infrastructure systems rely upon.  公共財であるオープンソースソフトウェアは、個人のメンテナ、非営利ソフトウェア財団、企業のスチュワードで構成される多様で広範なコミュニティによって支えられている。CISAは、連邦政府と重要インフラ・システムが依存する重要なOSSコンポーネントに特に重点を置いて、これらのコミュニティに統合し、支援しなければならない。
CISA recognizes the immense benefits of open source software, which enables software developers to work at an accelerated pace and fosters significant innovation and collaboration. With these benefits in mind, this roadmap lays out how CISA will help enable the secure usage and development of OSS, both within and outside the federal government. As detailed below, the roadmap centers on four key goals: 1) establishing CISA’s role in supporting the security of OSS, 2) understanding the prevalence of key open source dependencies, 3) reducing risks to the federal government, and 4) hardening the broader OSS ecosystem.  CISAは、オープンソースソフトウェアがソフトウェア開発者に加速度的なペースでの作業を可能にし、多大なイノベーションとコラボレーションを促進するという、計り知れないメリットを認識している。こうした利点を念頭に、このロードマップは、連邦政府内外でOSSの安全な利用と開発を可能にするためにCISAがどのような支援を行うかを示している。以下に詳述するように、ロードマップは4つの重要な目標を中心に据えている: 1)OSSのセキュリティ支援におけるCISAの役割の確立、2)主要なオープンソース依存関係の普及状況の把握、3)連邦政府に対するリスクの低減、4)広範なOSSエコシステムの強化である。
Vision  ビジョン 
Aligning with the National Cybersecurity Strategy’s goal of a “more resilient, equitable, and defensible cyberspace,” CISA envisions a prosperous future where secure, resilient technology is the backbone of our world. Open source software, fostering significant growth as part of the foundation on which technology is built, is key to this future. We envision a world in which every critical OSS project is not only secure but sustainable and resilient, supported by a healthy, diverse, and vibrant community. In this world, OSS developers are empowered to make their software as secure as possible. Further, the incredible growth fostered by OSS is coupled with action from those who capitalize on OSS to be good stewards of the projects they depend on. In this world, OSS consumers responsibly use it, contributing back to the extent they can to the community and code they depend on. Similarly, consumers and integrators of these OSS projects are given the tools to ensure the packages they use are secure and well curated. 国家サイバーセキュリティ戦略の目標である「よりレジリエンスに優れ、公平で、防衛可能なサイバー空間」に沿って、CISAは、安全でレジリエンスに優れた技術が私たちの世界を支える豊かな未来を構想している。オープンソースソフトウェアは、技術が構築される基盤の一部として大きな成長を促進し、この未来への鍵となる。私たちは、すべての重要なOSSプロジェクトが安全であるだけでなく、持続可能でレジリエンスに富み、健全で多様性に富み、活気に満ちたコミュニティに支えられている世界を思い描いている。この世界では、OSS開発者は自分たちのソフトウェアを可能な限り安全にする力を与えられる。さらに、OSSによって育まれた驚異的な成長は、OSSを活用する人々が、彼らが依存するプロジェクトの良きスチュワードであるための行動と結びついている。この世界では、OSSの消費者は責任を持ってOSSを利用し、彼らが依存するコミュニティやコードにできる範囲で貢献する。同様に、OSSプロジェクトの消費者とインテグレーターは、自分たちが使うパッケージが安全で、よく管理されていることを保証するためのツールを与えられる。
To achieve such a future, the federal government must take strong action towards maintaining and securing OSS infrastructure as reflected in the National Cybersecurity Strategy. CISA, given its responsibilities to defend and secure federal government information systems and coordinate a national effort to secure and protect against critical infrastructure risks, has a key role to play in OSS security, grounded in partnership with federal agencies, OSS consumers, and the OSS community.  そのような未来を実現するために、連邦政府は国家サイバーセキュリティ戦略に反映されているように、OSSインフラの維持と安全確保に向けて強力な行動を取らなければならない。CISAは、連邦政府の情報システムを防御・安全化し、重要インフラのリスクから安全かつ保護するための国家的取り組みを調整するガバナンスを持つことから、連邦国家安全保障局、OSS消費者、OSSコミュニティとのパートナーシップに基づき、OSSセキュリティで果たすべき重要な役割を担っている。
Threat Model  脅威モデル 
In order to secure OSS, we must understand the relevant attacks and vulnerabilities. CISA is broadly concerned about two distinct classes of OSS vulnerabilities and attacks:  OSSのセキュリティを確保するためには、関連する攻撃と脆弱性を理解しなければならない。CISAは、OSSの脆弱性と攻撃について、大きく2つに分類して懸念している: 
1.     The cascading effects of vulnerabilities in widely used OSS.  1.     広く使われているOSSの脆弱性の連鎖的影響。
As evidenced by the Log4Shell vulnerability, the ubiquity of OSS can cause vulnerabilities to have particularly widespread consequences. Given the prevalence of OSS across the federal government and critical infrastructure, any widespread vulnerability represents risk that CISA should seek to reduce. Similar to the potentially large impact of vulnerabilities in widely used closed-source software, the widespread and distributed nature of OSS can magnify the impact of OSS vulnerabilities. Hence, CISA should contribute to reducing the prevalence of exploitable vulnerabilities and aiding in response when vulnerabilities occur.  Log4Shellの脆弱性で証明されているように、OSSのユビキタス性は脆弱性が特に広範囲に影響を及ぼす原因となる。連邦政府と重要インフラにOSSが普及していることを考えると、脆弱性が広範囲に及ぶことは、CISAが削減を目指すべきリスクに相当する。広く使用されているクローズド・ソース・ソフトウェアの脆弱性が潜在的に大きな影響を及ぼすのと同様に、OSSの広範で分散した性質は、OSSの脆弱性の影響を拡大する可能性がある。したがって、CISAは、悪用可能な脆弱性の蔓延を減らし、脆弱性が発生した場合の対応を支援することに貢献すべきである。
2.     Supply-chain attacks on open source repositories leading to compromise of downstream software.  2.     オープンソース・リポジトリに対するサプライチェーン攻撃は、ダウンストリームソフトウェアの侵害につながる。
The second category of risks is the malicious compromise of OSS components, leading to downstream compromises. Examples include an attacker compromising a developer’s account and committing malicious code, or a developer intentionally inserting a backdoor into their package. Real-world examples include embedding cryptominers[3] in open source packages, modifying source code with protestware[4] that deletes a user’s files, and employing typosquatting[5] attacks that take advantage of developer errors.[6]   リスクの第二のカテゴリーは、OSS コンポーネントの悪意ある侵害であり、下流の侵害につながる。例としては、攻撃者が開発者のアカウントを侵害し、悪意のあるコードを実行することや、開発者が意図的にパッケージにバックドアを挿入することなどがある。実際の例としては、オープンソースパッケージにクリプトマイナー[3]を埋め込む、ユーザのファイルを削除するプロテストウェア[4]でソースコードを変更する、開発者のミスにつけ込むタイポスクワッティング[5]攻撃を採用する、などがある[6]。 
Strategic Alignment  戦略的整合性 
This OSS roadmap aligns to the National Cybersecurity Strategy, including Strategic Objective 4.1, which states that the federal government will “develop and drive adoption of solutions that will improve the security of the Internet ecosystem,” and Strategic Objective 3.3, which states that the federal government will collaborate with the private sector and OSS community to “invest in the development of secure software, including memory-safe languages.” CISA’s work in this roadmap is in fulfillment of Initiative 4.1.2 of the National Cybersecurity Strategy Implementation Plan, to “Promote open-source software security and the adoption of memory safe programming languages” via the Open Source Software Security Initiative (OS3I). このOSSロードマップは、連邦政府が「インターネットのエコシステムのセキュリティを向上させるソリューションを開発し、採用を推進する」とする戦略目標4.1や、連邦政府が民間セクターやOSSコミュニティと協力して「メモリセーフ言語を含む安全なソフトウェアの開発に投資する」とする戦略目標3.3を含む国家サイバーセキュリティ戦略と整合している。このロードマップにおけるCISAの活動は、国家サイバーセキュリティ戦略実施計画のイニシアティブ4.1.2を実現するものであり、オープンソースソフトウェアセキュリティイニシアティブ(OS3I)を通じて「オープンソースソフトウェアセキュリティとメモリ安全プログラミング言語の採用を促進する」ものである。
This roadmap also advances Objective 1.4 of the CISA Strategic Plan for 2023-2025, which aims to achieve a cyberspace ecosystem that is secure-by-design and secure-by-default, and helps achieve  priority areas addressed through the OS3I interagency working group convened by the Office of the National Cyber Director, which include memory safety, Common Vulnerabilities and Exposures (CVE) reform, and education.
 
また、このロードマップは、2023-2025年のCISA戦略計画の目標1.4を推進するものであり、セキュア・バイ・デザインおよびセキュア・バイ・デフォルトのサイバースペース・エコシステムを実現することを目指すものであり、国家サイバー長官室が招集したOS3I省庁間作業部会で取り上げられた優先分野(メモリ安全性、共通脆弱性・エクスポージャー(CVE)改革、教育など)の達成を支援するものである。 
Lastly, this roadmap aims to align, where possible, to existing OSS community efforts. Objective 1.1 below specifically speaks to integrating into community initiatives to further align CISA and OSS community work.  最後に、このロードマップは、可能な限り、既存のOSSコミュニティの取り組みと整合させることを目指している。以下の目標 1.1 では、CISA と OSS コミュニティの活動をさらに連携させるため、コミュニティ・イニシアティ ブへの統合について特に言及している。
FY24-26 Open Source Goals & Objectives  FY24-26 オープンソースの目標と目標 
Goal 1: Establish CISA’s Role in Supporting the Security of OSS  目標1: OSSのセキュリティ支援におけるCISAの役割を確立する。
It is crucial that CISA matures its working relationship with the OSS community to build a secure and resilient open source ecosystem. In line with CISA’s mission, this means identifying and reducing risks to the federal government and critical infrastructure and contributing back to help improve the security of the broader OSS ecosystem.  CISAがOSSコミュニティとの協力関係を成熟させ、安全でレジリエンスに優れたオープンソースのエコシステムを構築することは極めて重要である。CISAの使命に沿えば、これは連邦政府と重要インフラに対するリスクを特定して削減し、より広範なOSSエコシステムのセキュリティ改善を支援するために貢献することを意味する。
To achieve this, CISA must have the capabilities to understand the OSS ecosystem and collaborate with the OSS community. CISA recognizes that the open source community is not starting from scratch and already has many initiatives underway focused on security. CISA strives to align with and amplify these initiatives with the goal of channeling the federal government’s authorities and capabilities to foster greater OSS security.  これを達成するために、CISAはOSSエコシステムを理解し、OSSコミュニティと協力する能力を持たなければならない。CISAは、オープンソースコミュニティがゼロから出発しているわけではなく、すでにセキュリティに焦点を当てた多くの取り組みが進行中であることを認識している。CISAは、連邦政府の権限と能力を活用し、OSSセキュリティの向上を促進することを目標に、こうした取り組みと連携し、これを増幅するよう努める。
Objective 1.1. Partner With OSS Communities  目標 1.1. OSSコミュニティと提携する 
CISA will show up as an OSS community member, working hand-in-hand with OSS communities. Similar to how CISA has formed partnership groups with companies across various sectors, CISA will establish partnerships with OSS communities. CISA will establish a real-time collaboration channel with OSS community members (including OSS foundations and community organizations, code hosting services, and package managers). This channel will allow the OSS community members to provide individual input on actions CISA is taking, individually participate in roadmap planning sessions, and allow CISA to identify additional ways to support OSS community efforts. CISA will also contribute to broader community efforts that work to strengthen the security and resiliency of the OSS ecosystem by participating in relevant community working groups on OSS security.  CISAはOSSコミュニティの一員として、OSSコミュニティと手を携えて活動する。CISAが様々な分野の企業とパートナーシップ・グループを形成してきたのと同様に、CISAはOSSコミュニティとのパートナーシップを確立する。CISAは、OSSコミュニティ・メンバー(OSS財団やコミュニティ組織、コード・ホスティング・サービス、パッケージ・マネージャーを含む)とのリアルタイム・コラボレーション・チャネルを確立する。このチャネルにより、OSSコミュニティ・メンバーはCISAが取っている行動について個別に意見を提供し、ロードマップ計画セッションに個別に参加し、CISAがOSSコミュニティの取り組みを支援する追加的な方法を特定できるようになる。CISAはまた、OSSセキュリティに関する関連コミュニティのワーキンググループに参加することで、OSSエコシステムのセキュリティとレジリエンスの強化に取り組む、より広範なコミュニティの取り組みに貢献する。
In addition, CISA will continue its ongoing collaborative planning effort with industry, OSS communities, and interagency partners to better understand the role OSS components currently play in industrial control system (ICS) products and develop a plan to improve those components’ maintenance and security.  さらに、CISAは、産業制御システム(ICS)製品においてOSSコンポーネントが現在果たしている役割をよりよく理解し、これらのコンポーネントの保守とセキュリティを改善する計画を策定するために、産業界、OSSコミュニティ、省庁間パートナーとの現在進行中の共同計画策定作業を継続する。
Objective 1.2. Encourage Collective Action From Centralized OSS Entities  目標1.2. 集中型OSS事業体の集団行動を奨励する。
Recognizing that centralized OSS entities such as package managers and code hosting services can help drive systemic security improvements, CISA will encourage collective action from and greater accountability by these entities. CISA will participate in relevant working groups on securing these centralized entities, with the goal of working collaboratively to develop security principles for package managers and other centralized platforms in the OSS ecosystem.  パッケージマネージャやコードホスティングサービスなどの中央集権的な OSS 事業体が、体系的なセキュリ ティ改善の推進に役立つことを認識し、CISA は、これらの事業体による集団的行動と説明責任 の強化を奨励する。CISA は、パッケージマネージャや OSS エコシステム内の他の集中型プラットフォー ムのセキュリティ原則を共同で策定することを目標に、これらの集中型事業体のセキュリ ティ確保に関する関連作業部会に参加する。
Objective 1.3. Expand Engagement and Collaboration With International Partners   目標 1.3. 国際的パートナーとの関与と協力の拡大  
OSS is a public good, providing benefits for governments and private sector organizations around the world. This makes it crucial for the federal government to engage with its international partners and allies to bolster OSS security and resilience. In coordination with interagency partners, CISA will conduct engagements with international partners and allies and identify opportunities to collaborate on areas of shared interest, including the adoption of practices laid out in this roadmap.  OSSは公共財であり、世界中の政府や民間組織に利益をプロバイダとして提供している。このため連邦政府は、OSS のセキュリティとレジリエンスを強化するために、国際的なパートナーや同盟国と連携することが極めて重要である。省庁間のパートナーと連携して、CISA は国際的なパートナーや同盟国との連携を実施し、このロードマップに記載されたプラクティスの採用を含め、共通の関心分野で協力する機会を特定する。
Objective 1.4. Establish and Organize CISA’s OSS Work  目標1.4. CISAのOSS業務の確立と組織化 
CISA must be organizationally structured to execute on the open source efforts described in this roadmap. To that end, CISA will increase our breadth and depth of OSS security expertise and will establish an internal CISA Open Source Software Security Working Group to coordinate CISA’s work on OSS security.  CISAは、このロードマップに記載されているオープンソースへの取り組みを実行するために、組織的に構造化されなければならない。そのため、CISA は、OSS セキュリティの専門知識の幅と深さを拡大し、CISA 内部にオープンソースソフトウェア・セキュリティ作業部会を設置して、OSS セキュリティに関する CISA の作業を調整する。
Goal 2: Drive Visibility into OSS Usage and Risks  目標2:OSSの利用状況とリスクの可視化を推進する。
To understand where CISA can best support the security of the OSS ecosystem, we must understand where the greatest dependencies lie for the federal government and critical infrastructure. To that end, CISA will identify the OSS libraries that are most used to support critical functions across the federal government and critical infrastructure. CISA will utilize this information to understand where the greatest risks lie and prioritize activities to mitigate and reduce these risks.  CISAがOSSエコシステムのセキュリティを最も支援できる分野を理解するためには、連邦政府と重要インフラにとって最も依存度の高い分野を理解する必要がある。そのため、CISAは連邦政府と重要インフラ全体の重要機能をサポートするために最も使用されているOSSライブラリを識別する。CISAはこの情報を活用して、最大のリスクがどこにあるかを理解し、これらのリスクを低減・軽減するための活動に優先順位を付ける。
Objective 2.1. Understand OSS Software Prevalence  目的2.1. OSSソフトウェアの普及状況を把握する。
CISA will develop a capability for assessing OSS software prevalence in the federal government and will engage federal and critical infrastructure partners to improve CISA’s awareness of OSS software prevalence in critical infrastructure. For the federal government, this will involve aggregating readily available data on software prevalence from existing data sources, such as CISA’s Continuous Diagnostics and Mitigation (CDM) program. For areas where data is not as readily available, such as operational technology (OT) and ICS, CISA will work to advance our capability for assessing software prevalence and underlying OSS components. The goal is to understand all software prevalence including prevalence of software that is end-of-life, end-of-support, various versions, OSS, as well as unique software that may require additional resources to secure and maintain. For critical infrastructure, CISA will work with Sector Risk Management Agencies and critical infrastructure owners and operators to identify opportunities for voluntary sharing of data.
CISAは、連邦政府におけるOSSソフトウェアの普及状況を評価する能力を開発し、連邦政府および重要インフラのパートナーを関与させて、重要インフラにおけるOSSソフトウェアの普及状況に関するCISAの認識を向上させる。連邦政府については、CISAの継続的診断・低減(CDM)プログラムなどの既存のデータソースから、ソフトウェアの普及状況に関する入手しやすいデータを集約する。運用技術(OT)や ICS など、データが入手しにくい分野については、CISA は、ソフトウェアの普及状況や OSS コンポーネントの基礎を評価する能力の向上に取り組む。その目標は、使用期限切れ、サポート終了、各種バージョン、OSSのほか、安全確保と保守に追加リソースを必要とする可能性のある固有のソフトウェアの普及を含む、すべてのソフトウェアの普及状況を把握することである。重要インフラについては、CISAは、セクター・リスクマネジメント機関および重要インフラ所有者・運営者と協力して、自主的なデータ共有の機会を特定する。
Objective 2.2. Develop a Framework for OSS Risk Prioritization  目標2.2. OSSリスク優先順位付けの枠組みを開発する。
CISA will develop a framework to conduct a risk prioritization of OSS components discovered in Objective 2.1. The framework will recommend importance criteria and prioritization factors, such as an OSS component’s level of usage, level of maintenance, build process security, and code security properties—like memory safety and. The framework will leverage existing work where possible and will be released to the public.  CISAは、目的2.1で発見されたOSS構成要素のリスク優先順位付けを実施するための枠組みを開発する。このフレームワークでは、OSSコンポーネントの使用レベル、保守レベル、ビルドプロセスのセキュリティ、コードセキュリティ特性(メモリ安全性など)などの重要度基準や優先順位付け要因を推奨する。フレームワークは、可能な限り既存の作業を活用し、一般に公開する。
The framework will identify various categorizations of OSS components, such as components that:  このフレームワークは、OSSコンポーネントの様々な分類を識別する: 
•       Due to their level of usage and existing support, the federal government should directly support.   ・その利用レベルと既存のサポートにより,連邦政府は直接サポートすべきである。
•       Are malicious, which the federal government should stop using; or   ・悪質であり,連邦政府は使用を中止すべきである。
•       Are well supported and the government may continue using.   ・十分にサポートされており,政府が使用を継続してもよい。
Objective 2.3. Conduct Risk-Informed Prioritization of OSS Projects in Federal Government and Critical Infrastructure  目的2.3. 連邦政府および重要インフラにおけるOSSプロジェクトのリスク情報に基づく優先順位付けを実施する。
CISA will apply the framework described above to the repositories identified in 2.1, generating a riskinformed prioritization of OSS dependencies in the federal government and, to the degree possible, critical infrastructure. This prioritization may group OSS dependencies into various categories, as described in Objective 2.2. CISA will use this list to ensure that the federal government’s OSS efforts focus on the most critical and relevant OSS dependencies. Additionally, CISA will leverage this prevalence list to further understand vulnerabilities present in OSS used by the federal government and critical infrastructure.  CISAは、上記のフレームワークを2.1で特定したリポジトリに適用し、連邦政府および可能な限り重要インフラにおけるOSS依存関係のリスク情報に基づく優先順位付けを行う。この優先順位付けは、目的2.2で説明するように、OSS依存性を様々なカテゴリーに分類することができる。CISAはこのリストを使用して、連邦政府のOSSへの取り組みが最も重要で関連性の高いOSS依存関係に集中するようにする。さらに、CISAはこの普及リストを活用して、連邦政府と重要インフラが使用するOSSに存在する脆弱性をさらに理解する。
Objective 2.4. Understand Threats to Critical OSS Dependencies  目標2.4. 重要なOSS依存性に対する脅威を理解する。
CISA will develop a process to continuously assess threats to critical OSS dependencies, including, when available, the prioritized list of OSS dependencies generated in 2.3. When relevant, CISA will publish alerts about targeting of key OSS dependencies.  CISAは、重要なOSS依存性に対する脅威を継続的に評価するプロセスを開発し、利用可能な場合は、2.3で作成したOSS依存性の優先順位付けリストを含む。関連する場合、CISAは、重要なOSS依存関係を標的とした警告を公表する。
Goal 3: Reduce Risks to the Federal Government  目標3:連邦政府に対するリスクの削減 
This goal focuses specifically on securing the federal government’s usage of OSS. Similar to companies that responsibly engage with OSS, the federal government must establish processes to manage our usage of OSS and means of contributing back to the OSS we depend upon.  この目標は、特に連邦政府のOSS利用の安全確保に焦点を当てる。責任を持ってOSSに関与する企業と同様に、連邦政府もOSSの利用を管理するプロセスと、依存するOSSに貢献する手段を確立しなければならない。
Objective 3.1. Evaluate Solutions to Aid in Secure Usage of OSS  目標3.1. OSSの安全な利用を支援するソリューションを評価する。
CISA will evaluate the feasibility and efficacy of offering future capabilities or services to aid federal agencies in addressing gaps around managing their OSS. Such services may include tools that integrate into the continuous integration and continuous delivery (CI/CD) process to assess OSS risks (e.g., flagging vulnerable/outdated dependencies) and tools that facilitate support back to open source dependencies.  CISAは、連邦機関がOSSを管理する際のギャップに対処するのを支援する機能またはサービスを将来的に提供することの実現可能性と有効性を評価する。そのようなサービスには、継続的インテグレーションおよび継続的デリバリー(CI/CD)プロセスに統合してOSSのリスクを評価するツール(脆弱性/期限切れの依存関係にフラグを立てるなど)や、オープンソースの依存関係に戻ってサポートを促進するツールが含まれる可能性がある。
Objective 3.2. Develop Open Source Program Office Guidance For Federal Agencies.  目標 3.2. 連邦政府機関向けオープンソース・プログラム・オフィス・ガイダンスを策定する。
Open source program offices (OSPOs)[7] have emerged in industry, civil society, and academia as a way to manage an organization’s OSS operations, including supporting the responsible usage of OSS and facilitating contributions back to OSS. CISA will develop open source program office (OSPO) best practice guidance for federal agencies and other entities who wish to implement OSPOs. CISA will support federal agencies who are interested in piloting OSPOs. オープンソース・プログラム・オフィス(OSPO)[7]は、OSS の責任ある利用を支援し、OSS への貢献を促進することを含め、組織の OSS 運用を管理する方法として、産業界、市民社会、および学界で出現している。CISAは、OSPOの導入を希望する連邦政府機関やその他の事業体のために、オープンソースプログラムオフィス(OSPO)のベストプラクティス・ガイダンスを策定する。CISAは、OSPOの試験的導入に関心を持つ連邦政府機関を支援する。
Objective 3.3. Drive Prioritization of Federal Actions in OSS Security  目標3.3. OSSセキュリティにおける連邦政府の行動の優先順位付けを推進する。
The Office of the National Cyber Director (ONCD) established the OS3I with the goal of advancing government policy and resources to foster greater OSS security. Working with ONCD and government partners, CISA will continue to contribute to OS3I to identify policies and resources that can be utilized to bolster OSS security and resilience.  国家サイバー長官室(ONCD)は、OSSセキュリティの向上を促進するために政府の政策とリソースを推進する目的でOS3Iを設立した。CISAは、ONCDおよび政府パートナーと協力して、OSSのセキュリティとレジリエンスを強化するために利用できる政策とリソースを特定するためにOS3Iに貢献し続ける。
CISA, through OS3I, will drive prioritization of federal actions that promote security and resilience within the OSS ecosystem. CISA, ONCD, the National Science Foundation (NSF), the Defense Advanced Research Projects Agency (DARPA), and the Office of Management and Budget (OMB) initiated this effort by publishing a Request for Information (RFI) on open-source software security and memory safe programming languages. Following the RFI, the authoring agencies will work to publish a report summarizing responses and identifying key areas for government action.  CISAは、OS3Iを通じて、OSSエコシステム内のセキュリティとレジリエンスを促進する連邦政府の行動の優先順位付けを推進する。CISA、ONCD、国家安全保障局(NSF)、国防高等研究計画局(DARPA)、および行政管理予算局(OMB)は、オープンソースソフトウェアのセキュリティとメモリ安全プログラミング言語に関する情報提供要請(RFI)を公表することにより、この取り組みを開始した。RFIの後、作成機関は、回答をまとめた報告書を発行し、政府が取り組むべき主要分野を特定する。
Goal 4: Harden the OSS Ecosystem  目標4:OSSエコシステムの強化 
Recognizing the public-good nature of OSS and that any efforts to secure the broader OSS ecosystem will increase the security and resilience of the federal government and critical infrastructure, CISA will advance efforts to harden the broader OSS ecosystem. This effort will focus on OSS components identified in Goal 2 as being particularly critical for the federal government and critical infrastructure.  CISAは、OSSの公益的な性質と、より広範なOSSエコシステムを保護するための取り組みが連邦政府と重要インフラのセキュリティとレジリエンスを向上させることをガバナンスして、より広範なOSSエコシステムを強化する取り組みを進める。この取り組みは、ガバナンス2で連邦政府と重要インフラにとって特に重要であると識別されたOSSコンポーネントに焦点を当てる。
Objective 4.1. Continue to Advance SBOM Within OSS Supply Chains  目標4.1. OSSサプライチェーン内でSBOMを推進し続ける 
Although the value of software bill of materials (SBOM) is broader than OSS, there are unique challenges to achieving comprehensive SBOM generation throughout open source supply chains. In addition to continuing its work to drive SBOM standardization, CISA will also focus on the requirements, challenges, and opportunities of automatically generating dependency data within the open source ecosystem. The broader SBOM work will continue to engage with the OSS community and CISA will propose collaborations as appropriate with stakeholders identified in the initiatives above.   ソフトウェア部品表(SBOM)の価値は OSS よりも広範であるが、オープンソース・サプライチェーン全体で包括的な SBOM 生成を達成するには、独自の課題がある。CISAは、SBOM標準化を推進する作業の継続に加えて、オープンソースのエコシステム内で依存関係データを自動的に生成するための要件、課題、機会にも焦点を当てる。より広範なSBOM作業はOSSコミュニティとの関わりを継続し、CISAは、上記の取り組みで識別された利害関係者との適切な連携を提案する。 
Objective 4.2. Foster Security Education for Open Source Developers  目標 4.2. オープンソース開発者に対するセキュリティ教育を促進する。
In coordination with relevant federal agencies, including the NSF, CISA will support security education for current and future open source developers. As part of this effort, CISA, consulting with the open source community, will publish open source security toolkits that collect best practices and resources for open source security. This will include a toolkit for OSS maintainers with resources on secure software development and vulnerability disclosure,   CISA は、NSF を含む関連連邦機関と連携して、現在及び将来のオープンソース開発者向けのセ キュリティ教育を支援する。この取り組みの一環として、CISA はオープンソースコミュニティと協議しながら、オープンソースセキュリティのベストプラクティスとリソースを集めたオープンソースセキュリティツールキットを発行する。これには、安全なソフトウエア開発と脆弱性開示に関するリソースを含む、OSS メンテナ向けのツールキットが含まれる、  
Objective 4.3. Publish Guidance on OSS Security Usage Best Practices  目標 4.3. OSS セキュリティ利用のベストプラクティスに関するガイダンスを公表する。
CISA will publish best practices on securely incorporating OSS for entities including federal agencies, critical infrastructure organizations, and SLTT. This will include guidance for open source consumers on how to responsibly use OSS, as well as resources to understand OSS basics, a description of how OSS contributes to critical infrastructure, and OSS security basics.  CISAは、連邦機関、重要インフラ組織、SLTTを含む事業体向けに、OSSを安全に組み込むためのベスト・プラクティスを公表する。これには、責任を持ってOSSを利用する方法に関するオープンソース利用者向けのガイダンスのほか、OSSの基本、OSSが重要インフラにどのように貢献するかの説明、OSSセキュリティの基本を理解するためのリソースを含める。
Objective 4.4. Foster OSS Vulnerability Disclosure and Response  目標 4.4. OSS 脆弱性の開示と対応の促進 
CISA will continue to coordinate vulnerability disclosure and response for OSS vulnerabilities by leveraging relationships with the OSS community. This coordination may include establishing processes to specifically look for upstream issues in open source packages that critical infrastructure organizations depend on and quickly notify affected users of the identified vulnerabilities.  CISAは、OSSコミュニティとの関係を活用することにより、OSSの脆弱性の開示と対応を引き続き調整する。この調整には、重要インフラ組織が依存するオープン・ソース・パッケージの上流の問題を特に調査し、識別された脆弱性について影響を受けるユーザーに迅速に通知するプロセスを確立することも含まれる。

 

[1] Source code is the human-readable formal language that software developers use to specify the actions a computer will take.  [1] ソースコードとは、ソフトウェア開発者がコンピュータが実行する動作を指定するために使用する、人間が読める形式言語である。
[2] Synopsys. “2023 Open Source Security and Risk Analysis Report.” Last modified April 2023. https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-riskanalysis.html   [2] シノプシス。"2023 Open Source Security and Risk Analysis Report". 最終更新2023年4月。https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-riskanalysis.html  
[3] Gershon, Aviad and Folkman, Tal. “‘CuteBoi’ Detected Preparing a Large-Scale Crypto Mining Campaign on NPM Users.” Checkmarx Blog. July 6, 2022. https://checkmarx.com/blog/cuteboi-detected-preparing-a-largescale-crypto-mining-campaign-on-npm-users/.  [3] Gershon, Aviad and Folkman, Tal. "「CuteBoi」がNPMユーザーに対して大規模な暗号マイニングキャンペーンを準備していることを検知". Checkmarx Blog. https://checkmarx.com/blog/cuteboi-detected-preparing-a-largescale-crypto-mining-campaign-on-npm-users/。
[4] Trend Micro Research. “How Shady Code Commits Compromise the Security of the Open-Source Ecosystem.” Trend Micro Blog. July 11, 2022. https://www.trendmicro.com/en_us/research/22/g/how-shady-codecommits-compromise-the-security-of-the-open-sourc.html.  [4] Trend Micro Research. "How Shady Code Commits Compromise the Security of the Open-Source Ecosystem". トレンドマイクロブログ. https://www.trendmicro.com/en_us/research/22/g/how-shady-codecommits-compromise-the-security-of-the-open-sourc.html. 
[5] Tal, Liran. “What is typosquatting and how typosquatting attacks are responsible for malicious modules in npm.” Snyk Blog. January 12, 2021. https://snyk.io/blog/typosquatting-attacks/.   [5] Tal, Liran. "typosquattingとは何か、そしてtyposquatting攻撃がどのようにnpmの悪意のあるモジュールの原因となっているか". Snyk Blog. https://snyk.io/blog/typosquatting-attacks/。 
[6] These types of OSS supply chain attacks are described in more detail in Ladisa et al. See Ladisa, P., Plate, H., Martinez, M., and O. Barais. 2023. SoK: Taxonomy of Attacks on Open Source Software Supply Chains. Proceedings of the 2023 IEEE Symposium on Security and Privacy (SP), San Francisco, CA, USA, pp. 167-184. doi: 10.1109/SP46215.2023.00010.  [6] これらのタイプのOSSサプライチェーン攻撃については、Ladisa et al. 2023. SoK: Taxonomy of Attacks on Open Source Software Supply Chains. Proceedings of the 2023 IEEE Symposium on Security and Privacy (SP), San Francisco, CA, USA, pp.167-184. 
[7] TODO (OSPO) Group. “Open Source Program Office (OSPO) Definition and Guide.” May 31, 2023. https://github.com/todogroup/ospodefinition.org.  [7] TODO (OSPO) Group. "オープンソースプログラムオフィス(OSPO)の定義とガイド". https://github.com/todogroup/ospodefinition.org. 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.14 米国 CISA他 情報提供依頼: オープンソースソフトウェア・セキュリティ: 長期的な重点分野と優先順位付け

 

| | Comments (0)

ISO マネジメントシステム認証の取得数、取得サイト数 2022.12.31現在 日本企業はマネジメント認証が好きか?

こんにちは、丸山満彦です。

ISOがマネジメントシステム認証の取得数、取得サイト数(2022.12.31現在)の調査結果を公表していますね。。。

日本企業はISO認証が大好きという話がありましたが、意外とそうでもないかもです。。。どうなんでしょうかね。。。

ISMSの認証も20年ほど前は日本の認証数が全世界の半数以上だったのですが、今は10%弱となっていますね。。。

 

ISO

・2023.09.12 The ISO Survey

Full Survey Data (過去のデータもあります。。。)

Title Down Loaded
0.Explanatory note and overview on ISO Survey 2022 results XLSX
1.ISO Survey 2022 results - Number of certificates and sites per country and the number of sector overall XELS
2. ISO Survey 2022 results - Number of sectors by country for each standard XLSX
3.ISO Survey 2022 - comparison with 2021 - using data from providers taking part both years XLSX
Past Surveys  

 

日本での認証数

      日本 全世界
ISO 9001: 2015 Quality management systems -- Requirements 品質マネジメントシステム--要求事項 38,916 1,265,216 3.1%
ISO 14001: 2015 Environmental management systems -- Requirements with guidance for use 環境マネジメントシステム -- 要求事項(使用ガイダンス付き 20,892 529,853 3.9%
ISO/IEC 27001: 2013 Information technology -- Security techniques -- Information security management systems -- Requirements 情報技術 -- セキュリティ技術 -- 情報セキュリティマネジメントシステム -- 要求事項 6,987 71,549 9.8%
ISO 22000: 2018 Food safety management systems -- Requirements for any organization in the food chain 食品安全マネジメントシステム -- フードチェーンにおけるあらゆる組織に対する要求事項 1,833 45,459 4.0%
ISO 45001: 2018 Occupational health and safety management systems -- Requirements with guidance for use 労働安全衛生マネジメントシステム--使用ガイダンス付き要求事項 1,948 397,339 0.5%
ISO 13485: 2016 Medical devices -- Quality management systems -- Requirements for regulatory purposes 医療機器--品質マネジメントシステム--規制目的のための要求事項 2 29,741 0.0%
ISO 50001: 2018 Energy management systems -- Requirements with guidance for use エネルギーマネジメントシステム -- 使用ガイダンス付き要求事項 10 28,164 0.0%
ISO 22301: 2012&2019 Societal security -- Business continuity management systems -- Requirements 社会セキュリティ -- 事業継続マネジメントシステム -- 要求事項 64 3,200 2.0%
ISO/IEC 20000-1: 2018 Information technology -- Service management -- Part 1: Service management system requirements 情報技術--サービスマネジメント--第1部:サービスマネジメントシステム要求事項 112 27,009 0.4%
ISO 28000: 2007 Specification for security management systems for the supply chain サプライチェーンのセキュリティマネジメントシステムに関する仕様書 0 521 0.0%
ISO 37001: 2016 Anti-bribery management systems -- Requirements with guidance for use 贈収賄防止マネジメントシステム -- 要求事項と使用ガイダンス 0 5,969 0.0%
ISO 39001: 2012 Road traffic safety management systems -- Requirements with guidance for use 道路交通安全マネジメントシステム--使用ガイダンス付き要求事項 29 1,550 1.9%
ISO 20121: 2012 Event sustainability management systems — Requirements with guidance for use イベント持続可能性マネジメントシステム-使用ガイダンス付き要求事項 3 247 1.2%
ISO 29001: 2020 Petroleum, petrochemical and natural gas industries — Sector-specific quality management systems — Requirements for product and service supply organizations 石油、石油化学及び天然ガス産業-セクター別品質マネジメントシステム-製品及びサービス供給組織に対する要求事項 0 177 0.0%
ISO 44001: 2017 Collaborative business relationship management systems — Requirements and framework 共同事業関係管理システム-要求事項及び枠組み 1 118 0.8%
ISO 55001: 2014 Asset Management - management systems — requirements 資産管理-マネジメントシステム-要求事項 74 997 7.4%
合計     70,871 2,407,109 2.9%

 

認証数の多い、

ISO 9001、ISO 14001、ISO 45001、ISO/IEC 27001、のトップ10の国とその割合...

中国がどの認証でも圧倒的なトップ。意外と多いのがイタリア。これからインドもそれなりにあるので、経済発展とともに増えそうですね。。。

 

9001 Country  certificates  
1 China 551,855 43.6%
2 Italy 94,216 7.4%
3 India 61,653 4.9%
4 Germany 47,576 3.8%
5 United Kingdom of Great Britain and Northern Ireland 43,765 3.5%
6 Japan 38,916 3.1%
7 Spain 32,059 2.5%
8 United States of America 29,579 2.3%
9 Korea (Republic of) 27,155 2.1%
10 France 21,880 1.7%
合計   1,265,216 100.0%

 

14001 Country  certificates  
1 China 295,501 55.8%
2 Japan 20,892 3.9%
3 Italy 20,294 3.8%
4 United Kingdom of Great Britain and Northern Ireland 18,717 3.5%
5 Spain 14,778 2.8%
6 Korea (Republic of) 13,439 2.5%
7 Germany 13,383 2.5%
8 India 12,562 2.4%
9 France 6,454 1.2%
10 Australia 6,170 1.2%
合計   529,853  100.0%

 

45001 Country certificates  
1 China 266,898 67.2%
2 Italy 15,255 3.8%
3 United Kingdom of Great Britain and Northern Ireland 11,397 2.9%
4 India 10,326 2.6%
5 Australia 6,679 1.7%
6 Spain 5,603 1.4%
7 Korea (Republic of) 5,038 1.3%
8 Colombia 3,733 0.9%
9 Romania 3,288 0.8%
10 Germany 3,092 0.8%
合計   397,339 100.0%

 

27001 Country certificates  
1 China 26,301 36.8%
2 Japan 6,987 9.8%
3 United Kingdom of Great Britain and Northern Ireland 6,084 8.5%
4 India 2,969 4.1%
5 Italy 2,424 3.4%
6 United States of America 1,980 2.8%
7 Netherlands 1,741 2.4%
8 Germany 1,582 2.2%
9 Spain 1,561 2.2%
10 Israel 1,467 2.1%
合計   71,549 100.0%

 

Iso_20230201164101

 

 

参考....

認定機関の国際団体...国際認定フォーラム [wikipedia]

International Accreditation Forum, Inc

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2007.01.05 ISMSの認証取得は世界で3233サイト、Pマークは6360社

この時は、世界の約60%の認証が日本でした。

・2006.02.24 ISO/IEC 27001 特需?

・2005.10.29 ISO/IEC27001売ってます

・2005.08.27 JIPDEC ISMS認証取得事業者 1000件を超える

・2005.07.11 海外からは不思議に見られている?ISMS認定取得

・2005.03.31 埼玉県 住民基本台帳ネット ISMS認証取得

・2005.02.10 ISMS Pマークと個人情報の委託先の選定

・2005.01.31 金持ち企業は簡単にISMSが取得できる?

・2005.01.25 ISMSの形骸化

・2005.01.05 BS7799-2の認証は1000件を超えている

 

| | Comments (0)

2023.09.17

米国 NSA FBI CISA 組織に対するディープフェイクの脅威の文脈化

こんにちは、丸山満彦です。

NSA、 FBI、CISAが共同で、ディープフェイクの脅威についての報告書を公表していますね。。。

フェイク対策についてまとまっていて、参考になるところも多いし、これから日本でも取り組んでいくべきこともあるようにも思えます。

 

CISA

・2023.09.12 NSA, FBI, and CISA Release Cybersecurity Information Sheet on Deepfake Threats

NSA, FBI, and CISA Release Cybersecurity Information Sheet on Deepfake Threats< NSA、FBI、CISA、ディープフェイクの脅威に関するサイバーセキュリティ情報シートを発表
Today, the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), and the Cybersecurity and Infrastructure Security Agency (CISA) released a Cybersecurity Information Sheet (CSI), Contextualizing Deepfake Threats to Organizations, which provides an overview of synthetic media threats, techniques, and trends. Threats from synthetic media, such as deepfakes, have exponentially increased—presenting a growing challenge for users of modern technology and communications, including the National Security Systems (NSS), the Department of Defense (DoD), the Defense Industrial Base (DIB), and national critical infrastructure owners and operators. Between 2021 and 2022, U.S. Government agencies collaborated to establish a set of employable best practices to take in preparation and response to the growing threat. Public concern around synthetic media includes disinformation operations, designed to influence the public and spread false information about political, social, military, or economic issues to cause confusion, unrest, and uncertainty. 本日、国家安全保障局(NSA)、連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)は、合成メディアの脅威、技術、傾向の概要を示すサイバーセキュリティ情報シート(CSI)「組織に対するディープフェイクの脅威の文脈化」を発表した。ディープフェイクのような合成メディアからの脅威は指数関数的に増加しており、国家安全保障システム(NSS)、国防省(DoD)、防衛産業基盤(DIB)、国家の重要インフラの所有者や運営者など、現代のテクノロジーやコミュニケーションの利用者にとって、ますます大きな課題となっている。2021年から2022年にかけて、米国ガバナンス政府は、増大する脅威への準備と対応において取るべき一連の採用可能なベストプラクティスを確立するために協力した。合成メディアをめぐる社会的関心には偽情報作戦も含まれ、政治、社会、軍事、経済問題に関して、混乱、不安、不確実性を引き起こすために、大衆に影響を与え、偽情報を広めることを目的としている。
The authoring agencies urge organizations review the CSI for recommended steps and best practices to prepare, identify, defend against, and respond to deepfake threats. 作成機関は、組織がディープフェイクの脅威に備え、識別し、防御し、対応するための推奨される手順とベストプラクティスについて、CSIを検討するよう促している。
To report suspicious activity or possible incidents involving deepfakes, contact one of the following agencies: 疑わしい活動やディープフェイクに関わるインシデントの可能性を報告するには、以下のいずれかの機関に連絡すること:

 

 

・[PDF]

20230917-45123

 

・[DOCX] 仮訳

 

エグゼクティブサマリー...

Executive summary 要旨
Threats from synthetic media, such as deepfakes, present a growing challenge for all users of modern technology and communications, including National Security Systems (NSS), the Department of Defense (DoD), the Defense Industrial Base (DIB), and national critical infrastructure owners and operators. ディープフェイクのような合成メディアからの脅威は、国家安全保障システム(NSS)、国防総省(DoD)、防衛産業基盤(DIB)、国家重要インフラの所有者や運用者を含む、現代のテクノロジーとコミュニケーションのすべてのユーザーにとって、増大する課題を提示している。
As with many technologies, synthetic media techniques can be used for both positive and malicious purposes. While there are limited indications of significant use of synthetic media techniques by malicious state-sponsored actors, the increasing availability and efficiency of synthetic media techniques available to less capable malicious cyber actors indicate these types of techniques will likely increase in frequency and sophistication. 多くの技術と同様に、合成メディアの技術は、肯定的な目的にも悪意ある目的にも使用される可能性がある。悪意のある国家に支援された行為者による合成メディア技術の重要な使用の兆候は限られているが、能力の低い悪意のあるサイバー行為者が利用可能な合成メディア技術の可用性と効率性が高まっていることから、この種の技術の頻度と洗練度は増加する可能性が高い。
Synthetic media threats broadly exist across technologies associated with the use of text, video, audio, and images which are used for a variety of purposes online and in conjunction with communications of all types. Deepfakes are a particularly concerning type of synthetic media that utilizes artificial intelligence/machine learning (AI/ML) to create believable and highly realistic media. [1] The most substantial threats from the abuse of synthetic media include techniques that threaten an organization’s brand, impersonate leaders and financial officers, and use fraudulent communications to enable access to an organization’s networks, communications, and sensitive information. 合成メディアの脅威は、テキスト、ビデオ、音声、画像の使用に関連する技術に広く存在し、これらはオンライン上で、またあらゆる種類のコミュニケーションに関連して、さまざまな目的で使用されている。ディープフェイクは、人工知能/機械学習(AI/ML)を利用して、信憑性が高く、非常にリアルなメディアを作成する、特に懸念されるタイプの合成メディアである。[1] 合成メディアの悪用による最も重大な脅威には、組織のブランドを脅かしたり、リーダーや財務責任者になりすましたり、不正なコミュニケーションを利用して組織のネットワーク、コミュニケーション、機密情報へのアクセスを可能にしたりする手法が含まれる。
Organizations can take a variety of steps to identify, defend against, and respond to deepfake threats. They should consider implementing a number of technologies to detect deepfakes and determine media provenance, including real-time verification capabilities, passive detection techniques, and protection of high priority officers and their communications. [2] [3] Organizations can also take steps to minimize the impact of malicious deepfake techniques, including information sharing, planning for and rehearsing responses to exploitation attempts, and personnel training. 組織は、ディープフェイクの脅威を識別し、防御し、対応するために、様々な手段を講じることができる。リアルタイム検証機能、パッシブ検知技術、優先度の高い役員とその通信の保護など、ディープフェイクを検知し、メディアの出所を特定するための多くの技術の導入を検討すべきである。[2] [3] 組織はまた、悪意のあるディープフェイク手法の影響を最小化するために、情報共有、悪用の試みに対する対応計画とリハーサル、要員の訓練などの措置を講じることができる。
In particular, phishing using deepfakes will be an even harder challenge than it is today, and organizations should proactively prepare to identify and counter it. Several public and private consortiums also offer opportunities for organizations to get involved in building resilience to deepfake threats, including the Coalition for Content Provenance and Authenticity and Project Origin. [4] [5] 特に、ディープフェイクを使用したフィッシングは、現在よりもさらに困難な課題となるため、組織は積極的にその識別と対策に備えるべきである。また、「Coalition for Content Provenance and Authenticity」や「Project Origin」など、いくつかの官民のコンソーシアムも、ディープフェイクの脅威に対するレジリエンス構築に関与する機会を組織に提供している。[4] [5]
This cybersecurity information sheet, authored by the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), and the Cybersecurity and Infrastructure Security Agency (CISA), provides an overview of synthetic media threats, techniques, and trends. It also offers recommendations for security professionals focused on protecting organizations from these evolving threats through advice on defensive and mitigation strategies. このサイバーセキュリティ情報シートは、国家安全保障局(NSA)、連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)が作成したもので、合成メディアの脅威、テクニック、トレンドの概要を提供している。また、防御および低減戦略に関するアドバイスを通じて、これらの進化する脅威から組織を保護することに重点を置くセキュリティ専門家への提言も行っている。

 

 

検知と認証についての官民共同のイニシアチブ

· The DARPA Semantic Forensics program is currently developing advanced semantic capabilities for media forensics and authentication. Program participants include NVIDIA, PAR Government Systems, SRI International, and several research institutions. [30]  · DARPAセマンティック・フォレンジック・プログラムは現在、メディア・フォレンジックと認証のための高度なセマンティック機能を開発している。プログラム参加者には、NVIDIA、PAR Government Systems、SRI International、および複数の研究機関が含まれる。[30] 
· The Air Force Research Lab (AFRL) recently awarded a contract to the small business, DeepMedia, for the development of deepfake detection capabilities. [31]  · 空軍研究所(AFRL)は最近、ディープフェイク検出機能の開発契約を中小企業のDeepMediaに発注した。[31] 
· Deepfake detection tools have been fielded by several companies, including Microsoft, Intel, and Google.   · ディープフェイク検出ツールは、マイクロソフト、インテル、グーグルなど複数の企業によって提供されている。  
o   Prior to the 2020 elections, Microsoft introduced the Microsoft Video Authenticator and in 2023 they rolled out more context for the authenticity of images they may receive. [32]  o   2020年の選挙に先立ち、マイクロソフトはマイクロソフト・ビデオ・オーセンティケータを導入し、2023年には、受信する可能性のある画像の信憑性について、より多くのコンテクストを展開した。[32] 
o   Intel introduced a real-time deepfake detector in late 2022 labeled FakeCatcher which detects fake videos. [33]  o   インテルは2022年後半に、偽の動画を検出するFakeCatcherと名付けられたリアルタイムのディープフェイク検出器を発表した[33]。
o   Google, in collaboration with academic researchers in Europe, contributed a large dataset of visual deepfakes to the FaceForensics Benchmark in 2019. [34] [35]  o   グーグルはヨーロッパの学術研究者と共同で、2019年にFaceForensics Benchmarkに視覚的なディープフェイクの大規模なデータセットを提供した。[34] [35] 
· Adobe launched the Content Authenticity Initiative (CAI) in 2019 to push for provenance of digital content. CAI has several hundred members seeking to develop open content attribution standards. [36] CAI developed the Coalition for Content Providence and Authenticity ( C2PA ) . “C2PA unifi Adobe-led Content Authenticity Initiative (CAI) which focuses on systems to provide context and history for digital media, and Project Origin, a Microsoft- and BBC-led initiative that tackles disinformation in the digital news ecosystem.” [4]  ·        アドビは2019年にContent Authenticity Initiative(CAI)を立ち上げ、デジタルコンテンツの証明性を推進している。CAIには、オープンなコンテンツ帰属基準を開発しようとする数百人のメンバーがいる。[36] CAI は、Coalition for Content Providence and Authenticity (C2PA) を開発した。「C2PAは、アドビが主導するContent Authenticity Initiative (CAI)と、マイクロソフトとBBCが主導するProject Originを統合したもので、デジタル・ニュースのエコシステムにおける偽情報に取り組んでいる。[4] 

 

[4] The Coalition for Content Provenance and Authenticity (C2PA), https://c2pa.org/

[30] Defense Advanced Research Projects Agency, Semantic Forensics (SemaFor), https://www.darpa.mil/program/semantic-forensics

[31] DeepMedia, DeepMedia to Help AFRL Spot Deep Fakes, https://www.deepmedia.ai/press/deepmedia-to-help-afrl-spot-deep-fakes

[32] Google, Get helpful context with About this image, https://blog.google/products/search/about-thisimage-google-search/

[33] Intel, Intel Introduces Real-Time Deepfake Detector, https://www.intel.com/content/www/us/en/newsroom/news/intel-introduces-real-time-deepfakedetector.html#gs.zllvh5

[34] Technical University of Munich, FaceForensics++: Learning to Detect Manipulated Facial Images, https://github.com/ondyari/FaceForensics/

[35] Google Research, Contributing Data to Deepfake Detection Research, https://blog.research.google/2019/09/contributing-data-to-deepfake-detection.htm

[36] Content Authenticity Initiative, https://contentauthenticity.org/

 

 

推奨対策...

1. Select and implement technologies to detect deepfakes and demonstrate media provenance:  1. ディープフェイクを検出し、メディアの証明性を実証する技術を選択し、実装する: 
·        Real-time verification capabilities and procedures: Organizations should implement identity verification capable of operating during real-time communications. Identity verification for real-time communications will now require testing for liveness given the rapid improvements in generative-AI and real-time rendering. Mandatory multi-factor authentication (MFA), using a unique or one-time generated password or PIN, known personal details, or biometrics, can ensure those entering sensitive communication channels or activities are able to prove their identity. These verification steps are especially important when considering procedures for the execution of financial transactions.  ·        リアルタイムの検証機能および手順:組織は、リアルタイム通信中に動作可能な ID 検証機能を実装する必要がある。リアルタイム通信の ID 検証は、ジェネレーティブ AI とリアルタイム・レンダリングの急速な改善を考慮すると、現在では有効性のテストが必要になる。一意または一度だけ生成されるパスワードやPIN、既知の個人情報、またはバイオメトリクスを使用する多要素認証(MFA)を義務化することで、機密性の高い通信チャネルやアクティビティに入る人が身元を証明できるようにすることができる。金融取引の実行手順を考慮する場合、これらの検証手順は特に重要である。 
o   Companies that offer liveness tests powered by virtual injection techniques include ID R&D [44], Facetec [45], IProov [46], and many more.   o   仮想インジェクション技術による活性テストを提供している企業には、ID R&D [44]、Facetec [45]、IProov [46]などがある。  
o   The Center for Identification, Technology Research (CITeR) is a research initiative, funded in part by the National Science Foundation and other partners from the academic, commercial, and government sectors, that conducts research on techniques to achieve these goals. [47]   o   識別技術研究センター(CITeR)は、全米科学財団(National Science Foundation)および学術、商業、政府部門の他のパートナーから一部資金提供を受けている研究イニシアチブであり、これらの目標を達成するための技術に関する研究を行っている。[47]  
o   Passive detection of deepfakes: Passive detection techniques should be used when trying to determine the authenticity of previously created media. In these cases, recommendations for forensic analysis are as follows:  o   ディープフェイクの受動的検知:以前に作成されたメディアの真正性を判断しようとする場合、受動的検知技術を使用すべきである。このような場合、フォレンジック分析の推奨事項は以下の通りである: 
Basic recommendations:  基本的な推奨事項 
o   Make a copy of the media prior to any analysis. o Hash both the original and the copy to verify an exact copy.   o   正確なコピーを確認するために、オリジナルとコピーの両方をハッシュする。 
o   Check the source (i.e., is the organization or person reputable) of the media before drawing conclusions.   o   結論を出す前に、メディアの出典(すなわち、その組織や人物が信頼できるものかどうか)を確認する。  
o   Reverse image searches, like TinEye, [48] Google Image Search, [49] and Bing Visual Search, [50] can be extremely useful if the media is a composition of images.   o   TinEye、[48]Google Image Search、[49]Bing Visual Search、[50]のような逆画像検索は、メディアが画像で構成されている場合、非常に有用である。  
o   Visual/audio examination – look and listen to the media first as there may be obvious signs of manipulation  o   視覚/聴覚検査-明らかな操作の兆候があるかもしれないので、まずメディアをよく見、よく聞く。 
n  Look for physical properties that would not be possible, such as feet not touching the ground.  n  足が地面につかないなど、あり得ないような物理的特性を探す。 
n  Look for presence of audio filters, such as noise added for obfuscation.  n  難読化のために加えられたノイズなど、音声フィルタの存在を探す。 
n  Look for inconsistencies.  n  矛盾点を探す。 
o    Metadata examination tools can sometimes provide additional insights depending on the situation.  o    メタデータ検査ツールは、状況に応じて、さらなる洞察を与えてくれることもある。 
n   All metadata intact is an indication of authenticity.  n   すべてのメタデータが無傷であることは、真正性を示すものである。 
n   Some metadata stripped indicates the media was potentially manipulated, but further investigation is required.  n   剥がされたメタデータの中には、メディアが操作された可能性を示すものもあるが、さらなる調査が必要である。 
n   All metadata stripped may indicate the media was obtained through a social media platform or other process that automatically strips the information.  n   剥奪されたすべてのメタデータは、メディアがソーシャルメディア・プラットフォームまたは自動的に情報を剥奪する他のプロセスを通じて入手されたことを示す場合がある。 
Advanced recommendations:  上級者への勧め 
o   Physics based examinations – complete checks to verify vanishing points, reflections, shadows, and more using ideas from Hany Farid [see Chapter 1 of Fake Photos for more information] [51] and other methods that use Fluid Dynamics. [52]  o   物理学に基づいた試験 - Hany Farid [詳しくはFake Photosの第1章を参照] [51] のアイデアや流体力学を使用した他の方法を使用して、消失点、反射、影などを確認するための完全なチェック。[52] 
o   Compression based examination – Use tools designed to look for compression artifacts, knowing that lossy compression in media will inherently destroy lots of forensic artifacts.  o   圧縮に基づく検査 - メディアの非可逆圧縮は、本質的に多くのフォレンジック・アーティファクトを破壊することを承知の上で、圧縮アーチファクトを探すように設計されたツールを使用する。 
o   Content based examinations (when appropriate) – Use tools designed to look for specific manipulations when suspected. For example:  o   内容に基づく検査(適切な場合) - 疑わしい場合は、特定の操作を探すように設計されたツールを使用する。例えば 
n  Use tools like those available on GitHub [53] if a GAN was suspected for deepfake production.   n  ディープフェイク制作にGANが疑われる場合は、GitHub [53]にあるようなツールを使用する。  
n  Consider plug-ins to detect suspected fake profile pictures. [54]  n  偽のプロフィール写真の疑いを検出するプラグインを検討してください。[54] 
n  Explore the Antispoofing Wiki with various deepfake detection tools and software. [55]  n  様々なディープフェイク検出ツールやソフトウェアが掲載されているAntispoofing Wikiをご覧ください。[55] 
n  Use open source algorithms and papers for various manipulation tasks, such as grip-unina [56] and the deepfake detection challenge. [57]  n  grip-unina [56]やdeepfake detection challenge [57]のような、様々な操作タスクのためのオープンソースのアルゴリズムや論文を利用する。[57] 
n  In addition to the techniques and categories mentioned above, other techniques can be deployed to detect deepfakes of high priority individuals. Such techniques are based off the unique characteristics of the individual and are sometimes referred to as Person of Interest (POI) models. Training these models for a particular person can be time consuming and, in some cases, requires hours of data. However, if the concern is to protect a particular individual, these methods are designed just for that. Some examples include:  n  優先順位の高い個人のディープフェイクを検出するために、上記の技術とカテゴリに加えて、他の技術を導入することができる。このような技術は、個人のユニークな特徴に基づいており、Person of Interest (POI)モデルと呼ばれることもある。特定の人物についてこれらのモデルをトレーニングするには時間がかかり、場合によっては何時間もデータを必要とする。しかし、特定の個人を保護することが目的であれば、これらの方法はまさにそのために設計されている。いくつかの例を挙げる: 
•         ID-Reveal [58] and Audio-Visual Person-of-Interest DeepFake detection; [59]  •         ID-Reveal[58]とAudio-Visual Person-of-Interest DeepFake検出; [59]。 
•         Protecting World Leaders Against Deepfakes [60] and Protecting President Zelenskky; [61] and   •         ディープフェイクから世界の指導者を守る[60]」、「ゼレンスキー大統領を守る[61]」、そして  
•         Person Specific Audio Deepfake Detection. [62]  •         人物固有の音声・ディープフェイク検出。[62] 
•         Note on POI models: if organizations wish to protect their executives with POI models, they should consider actively collecting and curating legitimate video and audio recordings of these individuals. Such collections of data will be necessary to develop detection models.  •         POIモデルに関する注意:もし組織がPOIモデルを使って役員を保護したいのであれば、これらの個人の合法的なビデオや音声の記録を積極的に収集し、管理することを検討すべきである。このようなデータの収集は、検知モデルを開発するために必要である。 
2. Protect public data of high-priority individuals.  2. 優先順位の高い個人の公開データを保護する。 
To protect media that contains the individual from being used or repurposed for disinformation, one should consider beginning to use active authentication techniques such as watermarks and/or CAI standards. This is a good preventative measure to protect media and make it more difficult for an adversary to claim that a fake media asset portraying the individual in these controlled situations is real. Prepare for and take advantage of opportunities to minimize the impact of deepfakes.  個人を含むメディアが偽情報に利用されたり、再利用されたりしないように保護するために、透かしやCAI標準などの能動的認証技術の使用を開始することを検討すべきである。これは、メディアを保護し、敵対者がこのような管理された状況にある個人を描いた偽のメディア資産が本物であると主張することをより困難にするための良い予防策である。ディープフェイクの影響を最小化する機会を準備し、活用する。 
·         Plan and rehearse: Ensure plans are in place among organizational security teams to respond to a variety of deepfake techniques. These should be prioritized by the likelihood and unique vulnerabilities of each organization and their industry. Some organizations will be more susceptible to executive impersonation or misinformation which may impact brand status or public stock shares. Other organizations relying on high volumes of virtual financial transactions may be more vulnerable to financial fraud.  ·         計画を立て、リハーサルを行う:組織のセキュリティチーム間で、様々なディープフェイク手法に対応するための計画が策定されていることを確認する。これらは、各組織とその業界の可能性と固有の脆弱性によって優先順位をつけるべきである。組織によっては、ブランドの地位や株式公開に影響を及ぼす可能性のある経営陣のなりすましや誤情報の影響を受けやすい。また、大量の仮想金融取引に依存している組織では、金融詐欺に対してより脆弱かもしれない。 
·         Once a plan is established, do several tabletop exercises to practice and analyze the execution of the plan. These should involve the most likely targets of deepfakes and include executives who may be prime targets. [63]  計画が確立したら、計画の実行を練習し、分析するために、何度か卓上演習を行う。これらの演習には、ディープフェイクのターゲットとなる可能性が最も高い者を参加させ、主要なターゲットとなり得る経営幹部も参加させるべきである。[63] 
·         Reporting and sharing experiences: Report the details of malicious deepfakes with appropriate U.S. Government partners, including the NSA Cybersecurity Collaboration Center for Department of Defense and Defense Industrial Base Organizations and the FBI (including local offices or CyWatch@fbi.gov), to spread awareness of trending malicious techniques and campaigns.  ·         経験の報告と共有:悪意のあるディープフェイクの詳細を、国防総省および国防産業基盤組織のためのNSAサイバーセキュリティ・コラボレーション・センターやFBI(地方事務所またはCyWatch@fbi.gov)を含む適切な米国政府のパートナーに報告し、トレンドとなっている悪意のある手法やキャンペーンについての認識を広める。 
·         Training personnel: Every organization should incorporate an overview of deepfake techniques into their training program. This should include an overview of potential uses of deepfakes designed to cause reputational damage, executive targeting and BEC attempts for financial gain, and manipulated media used to undermine hiring or operational meetings for malicious purposes. Employees should be familiar with standard procedures for responding to suspected manipulated media and understand the mechanisms for reporting this activity within their organization.  ·         トレーニング担当者:各組織は、ディープフェイク技術の概要を研修プログラムに組み込むべきである。これには、風評被害を引き起こすために設計されたディープフェイクの潜在的な使用法、金銭的利益を目的とした経営幹部ターゲティングやBECの試み、悪意ある目的のために採用や運営会議を弱体化させるために使用される操作メディアの概要が含まれるべきである。従業員は、操作された疑いのあるメディアに対応するための標準的な手順に精通し、組織内でこの活動を報告するための仕組みを理解する必要がある。 
Training resources specific to deepfakes are already available from the following sources:  ディープフェイクに特化したトレーニング・リソースは、すでに以下の情報源から入手可能である: 
n   SANS Institute – “Learna New Survival Skill: Spotting Deepfakes;” [64]  n   SANS Institute - 「新しいサバイバルスキルを身につけよう:ディープフェイクを見破る" [64] 
n   MIT Media Lab – “ Detect Deep Fakes: How to counteract information created by AI” [65] and MIT Media Literacy; [66] and   n   MITメディアラボ - 「ディープフェイクを検知せよ:AIが作り出した情報に対抗する方法」[65]とMITメディアリテラシー、[66]と  
n   Microsoft – “Spot the Deep fake.” [67]  n   マイクロソフト - "ディープフェイクを見破れ"[67] 
·        Leveraging cross-industry partnerships: C2PA is a significant effort launched in 2021 to address the prevalence of misleading information online through the development of technical standards for certifying the provenance of media content. Specifications and principles for ensuring media provenance can be found on the C2PA website. [4] Additional information on issues relating to misinformation and content provenance is available from C2PA associated efforts at CAI [36] and Project Origin. [5]  ·        業界を超えたパートナーシップの活用:C2PAは、メディア・コンテンツの出所を証明するための技術基準の策定を通じて、ネット上に蔓延する誤解を招く情報に対処するために2021年に開始された重要な取り組みである。メディアの出所を保証するための仕様と原則は、C2PAのウェブサイトに掲載されている。[4] 誤情報とコンテンツの出所に関する追加情報は、C2PAに関連するCAI [36]とProject Originの取り組みから入手できる。[5] 
As of 2023, CAI encompassed more than 1,000 private companies across tech, media, news publishers, researchers, and NGOs. CAI offers several free open source tools to implement media provenance, a regular newsletter, and a community channel on Discord.  2023年現在、CAIはハイテク、メディア、ニュース出版社、研究者、NGOなど1,000社以上の民間企業を包含している。CAIは、メディア実証を実施するためのいくつかの無料オープンソースツール、定期的なニュースレター、Discord上のコミュニティチャンネルを提供している。 
Project Origin, a cross industry effort involving Microsoft and several major media producers, aims to similarly establish a chain of content provenance through secure signatures and web browser extensions. Technical background can be found on their website at originproject.info.   プロジェクトOriginは、マイクロソフトといくつかの大手メディア制作会社が参加する業界横断的な取り組みであり、同様に、安全な署名とウェブブラウザの拡張機能を通じて、コンテンツの証明の連鎖を確立することを目指している。技術的な背景は、originproject.infoのウェブサイトに掲載されている。  
·        Understand what private companies are doing to preserve the provenance of online content: Organizations should actively pursue partnerships with media, social media, career networking, and similar companies in order to learn more about how these companies are preserving the provenance of online content. This is especially important considering how they may be working to identify and mitigate the harms of synthetic content, which may be used as a means to exploit organizations and their employees.   ·        オンラインコンテンツの出所を保護するために、民間企業がどのような取り組みを行っているかを理解する:組織は、メディア、ソーシャル・メディア、キャリア・ネットワーキング、および類似の企業との提携を積極的に追求し、これらの企業がオンライン・コンテンツの出所をどのように保全しているかについて詳しく知るべきである。特に、組織とその従業員を搾取する手段として使用される可能性のある合成コンテンツの害を特定し、軽減するために、これらの企業がどのように取り組んでいるかを考慮することは重要である。  

 

| | Comments (0)

NIST SP 800-207A マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル

こんにちは、丸山満彦です。

マルチクラウドあるいはハイブリッド環境の ゼロトラスト・アーキテクチャのランタイム要件を満たしながら、きめ細かいアプリケーションレベルのポリシーを適用できるアーキテクチャを実現するためのガイダンス。。。

 

NIST - ITL

・2023.09.13 NIST SP 800-207A A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Cloud Environments

 NIST SP 800-207A A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Cloud Environments マルチクラウド環境におけるクラウドネイティブアプリケーションのアクセス制御のためのゼロトラストアーキテクチャモデル
Abstract 概要
One of the basic tenets of zero trust is to remove the implicit trust in users, services, and devices based only on their network location, affiliation, and ownership. NIST Special Publication 800-207 has laid out a comprehensive set of zero trust principles and referenced zero trust architectures (ZTA) for turning those concepts into reality. A key paradigm shift in ZTAs is the change in focus from security controls based on segmentation and isolation using network parameters (e.g., Internet Protocol (IP) addresses, subnets, perimeter) to identities. From an application security point of view, this requires authentication and authorization policies based on application and service identities in addition to the underlying network parameters and user identities. This in turn requires a platform that consists of Application Programming Interface (API) gateways, sidecar proxies, and application identity infrastructures (e.g., Secure Production Identity Framework for Everyone [SPIFFE]) that can enforce those policies irrespective of the location of the services or applications, whether on-premises or on multiple clouds. The objective of this publication is to provide guidance for realizing an architecture that can enforce granular application-level policies while meeting the runtime requirements of ZTA for multi-cloud and hybrid environments. ゼロトラストの基本的な考え方の1つは、ネットワークの場所、所属、所有権のみに基づくユーザー、トラストサービス、デバイスに対する暗黙の信頼を取り除くことである。NIST特別刊行物800-207は、ゼロトラストの包括的な原則を示し、これらの概念を現実にするためのゼロトラストアーキテクチャ(ZTA)を参照している。ZTAにおける重要なパラダイム・シフトは、ネットワーク・パラメータ(例えば、インターネット・プロトコル(IP)アドレス、サブネット、境界)を使用したセグメンテーションと分離に基づくセキュリティ管理から、アイデンティティへの焦点の変更である。アプリケーション・セキュリティの観点からは、基礎となるネットワーク・パラメータとユーザ・アイデンティティに加えて、アプリケーションとサービスのアイデンティティに基づく認証と承認のポリシーが必要となる。そのためには、アプリケーション・プログラミング・インタフェース(API)ゲートウェイ、サイドカー・プロキシ、およびアプリケーションIDインフラストラクチャ(Secure Production Identity Framework for Everyone [SPIFFE]など)で構成され、オンプレミスまたは複数のクラウド上など、サービスやアプリケーションの場所に関係なくポリシーを適用できるプラットフォームが必要である。本書の目的は、マルチクラウドおよびハイブリッド環境の ZTA のランタイム要件を満たしながら、きめ細かいアプリケーショ ンレベルのポリシーを適用できるアーキテクチャを実現するためのガイダンスを提供することである。

 

・[PDF] NIST.SP.800-207A

20230916-55615

・[DOCX] 仮訳

 

 

目次...

Executive Summary エグゼクティブ・サマリー
1. Introduction 1. はじめに
1.1. Background — Zero Trust Principles and Zero Trust Architecture 1.1. 背景 - ゼロトラスト原則とゼロトラスト・アーキテクチャ
1.2. Relationship to Other NIST Guidance Documents 1.2. 他のNISTガイダンス文書との関係
1.3. Scope 1.3. 適用範囲
1.4. Target Audience 1.4. 想定読者
1.5. Organization of This Document 1.5. 本文書の構成
2. The Enterprise Cloud-Native Platform and its Components 2. エンタープライズ・クラウドネイティブ・プラットフォームとそのコンポーネント
2.1. Enterprise Infrastructure Layer 2.1. 企業インフラ層
3. Designing a Policy Framework for ZTA for Cloud-Native Application Environments 3. クラウドネイティブアプリケーション環境におけるZTAのポリシーフレームワークの設計
3.1. Requirements for Identity-Based Segmentation Policies for ZTA 3.1. ZTAのアイデンティティ・ベースのセグメンテーションポリシーの要件
3.2. Limitations of Identity-Based Segmentation Policies for Enterprise ZTA 3.2. エンタープライズZTAにおけるアイデンティティ・ベースのセグメンテーションポリシーの限界
3.3. Multi-Tier Policies for Enterprise ZTA 3.3. エンタープライズZTAの多層ポリシー
4. Implementing Multi-Tier Policies for ZTA for Cloud-Native Application Environments 4. クラウド・ネイティブ・アプリケーション環境におけるZTAの多層ポリシーの実装
4.1. Reference Application Infrastructure Scenario 4.1. 参考アプリケーション・インフラ・シナリオ
4.2. Role of the Service Mesh in Policy Deployment, Enforcement, and Updates 4.2. ポリシーの展開、実施、更新におけるサービスメッシュの役割
4.3. Policy Deployment for Reference Application Infrastructure 4.3. リファレンス・アプリケーション・インフラストラクチャーのポリシー展開
4.4. Another Application Infrastructure Scenario 4.4. もうひとつのアプリケーション・インフラ・シナリオ
4.5. Functional Roles of Application Infrastructure Elements in Enforcing Policies 4.5. ポリシーの実施におけるアプリケーション基盤要素の機能的役割
4.6. Comparison of Identity-Tier and Network-Tier Policies 4.6. アイデンティ層とネットワーク層のポリシーの比較
4.6.1. Approaches for Deployment and the Limitations of Network-Tier Policies 4.6.1. 展開のアプローチとネットワーク階層ポリシーの限界
4.6.2. Prerequisites for the Deployment of Identity-Tier Policies 4.6.2. アイデンティティ層ポリシーの展開の前提条件
4.6.3. Advantages of Identity-Tier Policies 4.6.3. アイデンティティ層ポリシーの利点
5. Support for Multi-tier Policies Through a Monitoring Framework 5. モニタリングフレームワークによる多層ポリシーのサポート
6. Summary and Conclusions 6. まとめと結論
References 参考文献

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブ・サマリー 
The principles of zero trust, as described in NIST Special Publication (SP) 800-207, have become the guiding markers for developing secure zero trust architecture. A well-established class of applications is the cloud-native application class. The generally accepted characterization of a cloud-native application includes the following:  NIST 特別刊行物(SP)800-207に記載されているゼロトラストの原則は、安全なゼロトラスト・アーキテクチャを開発するための指針となっている。確立されたアプリケーションのクラスに、クラウドネイティブアプリケーションクラスがある。一般に受け入れられているクラウドネイティブアプリケーションの特徴には、次のようなものがある: 
•       The application is made up of a set of loosely coupled components called microservices. Each of the microservices can be hosted on different physical or virtual machines (VMs) and even be geographically distributed (e.g., within several facilities that belong to the enterprise, such as the headquarters, branch offices, and in various cloud service provider environments).  •       アプリケーションは、マイクロサービスと呼ばれる疎結合コンポーネントの集合で構成される。各マイクロサービスは、異なる物理マシンまたは仮想マシン(VM)上でホストすることができ、さらに地理的に分散させることもできる(例えば、本社、支社、様々なクラウドサービスプロバイダー環境など、企業に属する複数の施設内)。 
•       Any transaction involving the application may also involve one or more inter-service (microservice) calls across the network.  •       アプリケーションが関与するトランザクションには、ネットワークを介した1つ以上のサービス間(マイクロサービス)呼び出しも含まれる可能性がある。 
•       A widespread feature (though not necessarily a requirement for cloud-native applications) is the presence of a software platform called the service mesh that provides an integrated set of all application services (e.g., services discovery, networking connections, communication resilience, and security services like authentication and authorization).  •       クラウド・ネイティブ・アプリケーションの要件とは限らないが)広く普及している特徴は、すべてのアプリケーション・サービス(サービス・ディスカバリー、ネットワーク接続、通信回復力、認証や認可などのセキュリティ・サービスなど)の統合セットを提供するサービス・メッシュと呼ばれるソフトウェア・プラットフォームの存在だ。 
The realization of a zero trust architecture for the above class of cloud-native applications requires a robust policy framework. In order to follow zero trust principles, the constituent polices in the framework should consider the following scenario:  上記のようなクラウドネイティブアプリケーションのためのゼロトラストアーキテクチャを実現するには、強固なポリシーフレームワークが必要である。ゼロトラストの原則に従うために、フレームワークの構成ポリシーは以下のシナリオを考慮する必要がある: 
•       There should not be implicit trust in users, services, or devices based exclusively on their network location, affiliation, or ownership. Hence, policy definitions and associated security controls based on the segmentation or isolation of networks using network parameters (e.g., IP addresses, subnets, perimeter) are insufficient. These policies fall under the classification of network-tier policies.  •       ネットワークの場所、所属、所有権のみに基づくユーザー、サービス、デバイスに対する暗黙の信頼があってはならない。したがって、ネットワーク・パラメータ(例えば、IP アドレス、サブネット、境界)を使用したネットワークのセグメンテーションや分離に基づくポリシー定義や関連するセキュリティ制御は不十分である。これらのポリシーは、ネットワーク階層ポリシーの分類に入る。 
•       To ensure the presence of zero trust principles throughout the entire application, networktier policies must be augmented with policies that establish trust in the identity of the various participating entities (e.g., users and services) irrespective of the location of the services or applications, whether on-premises or on multiple clouds.  •       アプリケーション全体を通してゼロトラスト原則の存在を保証するために、ネットワーク層のポリシーは、オンプレミスであろうと複数のクラウド上であろうと、サービスやアプリケーションの場所に関係なく、様々な参加エンティティ(ユーザーやサービスなど)のアイデンティティに対する信頼を確立するポリシーで補強されなければならない。 
This document provides guidance for realizing a zero trust architecture that can enforce granular application-level policies for cloud-native applications. The guidance is anchored in the following:  本文書は、クラウドネイティブなアプリケーションに対してきめ細かいアプリケーションレベルのポリシーを適用できるゼロトラスト・アーキテクチャを実現するためのガイダンスを提供する。このガイダンスは、以下の点に重点を置いている: 
•       A combination of network-tier and identity-tier policies  •       ネットワーク層とアイデンティ層のポリシーの組み合わせ 
•       The components of cloud-native applications that enable the definition and deployment of those policies, such as edge, ingress, sidecar, and egress gateways; the creation, issuance, and maintenance of service identities; and the issuance of authentication and authorization tokens that carry user identities in the enterprise application infrastructure that encompasses multi-cloud and hybrid environments  •       エッジ、侵入、サイドカー、エグレスゲートウェイなどのポリシーの定義と展開を可能にするクラウドネイティブアプリケーションのコンポーネント、サービスIDの作成、発行、維持、マルチクラウドやハイブリッド環境を包含するエンタープライズアプリケーションインフラストラクチャのユーザーIDを伝送する認証および承認トークンの発行。 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

 

800-207他

・2023.04.23 NIST SP 800-207A(ドラフト)マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

 

1800-35...

・2023.09.16 NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.E リスクとコンプライアンスマネジメント

・2023.08.24 NIST SP 1800-35(第3次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.D 機能デモ

・2023.07.23 NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 (Vol. B, C)

・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. C, D)

・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. B)

・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. A)

 

その他...

・2022.12.12 カナダ サイバーセキュリティセンター 「ゼロトラスト・セキュリティモデル - ITSAP.10.008」

・2022.05.08 NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイド

・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル

・2021.06.30 金融庁 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

 

| | Comments (0)

2023.09.16

米国 カジノホテルグループのシーザーズがサイバー攻撃を受けて8-Kを公表していますね。。。

こんにちは、丸山満彦です。

米国のナスダック登録企業である、カジノホテルグループのシーザーズ (Caesars Entertainment, Inc.)  [wikipedia]がサイバー攻撃を受けて8-Kを公表していますね。。。

SECURITIES AND EXCHANGE COMMISSION

・2023.09.07 FORM 8-K Caesars Entertainment, Inc.

20230916-50912

 

Item 8.01 Other Events. 項目8.01 その他の事象
Caesars Entertainment, Inc. (the “Company,” “we,” or “our”) recently identified suspicious activity in its information technology network resulting from a social engineering attack on an outsourced IT support vendor used by the Company. Our customer-facing operations, including our physical properties and our online and mobile gaming applications, have not been impacted by this incident and continue without disruption. Caesars Entertainment, Inc. (「当社」、「当社」、または「当社」)は最近、当社が使用している外部委託ITサポート・ベンダーに対するソーシャル・エンジニアリング攻撃の結果、当社の情報技術ネットワークにおける不審な活動を確認した。当社の実店舗、オンラインおよびモバイルのゲーム・アプリケーションを含む、当社の顧客向け業務は、このインシデントによる影響は受けておらず、支障なく継続している。
After detecting the suspicious activity, we quickly activated our incident response protocols and implemented a series of containment and remediation measures to reinforce the security of our information technology network. We also launched an investigation, engaged leading cybersecurity firms to assist, and notified law enforcement and state gaming regulators. As a result of our investigation, on September 7, 2023, we determined that the unauthorized actor acquired a copy of, among other data, our loyalty program database, which includes driver’s license numbers and/or social security numbers for a significant number of members in the database. We are still investigating the extent of any additional personal or otherwise sensitive information contained in the files acquired by the unauthorized actor. We have no evidence to date that any member passwords/PINs, bank account information, or payment card information (PCI) were acquired by the unauthorized actor. 不審な活動を検知した後、当社は迅速にインシデント対応プロトコルを起動し、当社の情報技術ネットワークのセキュリティを強化するため、一連の封じ込めと修復策を実施した。また、調査を開始し、大手サイバーセキュリティ企業に支援を依頼し、法執行機関と州のゲーミング規制当局に通知した。調査の結果、2023年9月7日、不正行為者が当社のロイヤルティ・プログラム・データベースのコピーを取得したことが判明した。このデータベースには、相当数の会員の運転免許証番号および/または社会保障番号が含まれている。不正行為者によって取得されたファイルに含まれる追加の個人情報またはその他の機密情報の範囲については、現在も調査中である。現在までのところ、会員のパスワード/暗証番号、銀行口座情報、ペイメントカード情報(PCI)が不正行為者によって取得されたという証拠はない。
We have taken steps to ensure that the stolen data is deleted by the unauthorized actor, although we cannot guarantee this result. We are monitoring the web and have not seen any evidence that the data has been further shared, published, or otherwise misused. Nonetheless, out of an abundance of caution, we are offering credit monitoring and identity theft protection services to all members of our loyalty program. To sign up for these services, members may call (888) 652-1580 from 9:00 a.m. to 9:00 p.m. Eastern Time, Monday through Friday other than holidays. 我々は、盗まれたデータが不正行為者によって確実に削除されるよう対策を講じているが、この結果を保証することはできない。我々はウェブを監視しているが、データがさらに共有されたり、公開されたり、あるいはその他の方法で悪用された形跡はない。それにもかかわらず、慎重を期して、私たちはロイヤルティプログラムの全会員にクレジット・モニタリングと個人情報盗難防止サービスを提供している。これらのサービスに申し込むには、米国東部時間、祝日を除く月曜日から金曜日の午前9時から午後9時まで、(888) 652-1580に電話することができる。
Additionally, we will be notifying individuals affected by this incident consistent with our legal obligations. These notifications will be made on a rolling basis in the coming weeks. In the meantime, individuals with questions may contact the dedicated incident response line we have established to address questions about this incident, which can be reached at (888) 652-1580 from 9:00 a.m. to 9:00 p.m. Eastern Time, Monday through Friday other than holidays. さらに、このインシデントにより影響を受けた個人に対し、法的義務に基づき通知を行う予定である。これらの通知は今後数週間のうちに順次行われる予定である。それまでの間、質問のある方は、このインシデントに関する質問に対応するために設けたインシデント対応専用ダイヤル(東部標準時、祝日を除く月曜日から金曜日の午前9時から午後9時まで、(888) 652-1580)に連絡することができる。
While no company can ever eliminate the risk of a cyberattack, we believe we have taken appropriate steps, working with industry-leading third-party IT advisors, to harden our systems to protect against future incidents. These efforts are ongoing. We have also taken steps to ensure that the specific outsourced IT support vendor involved in this matter has implemented corrective measures to protect against future attacks that could pose a threat to our systems. いかなる企業もサイバー攻撃のリスクを排除することはできないが、当社は業界をリードするサードパーティーのITアドバイザーと協力し、将来のインシデントから保護するためにシステムを強化する適切な措置を講じたと確信している。これらの取り組みは現在も継続中である。また、本件に関与した特定の外部委託ITサポート・ベンダーが、当社のシステムに脅威を与える可能性のある将来の攻撃から保護するための是正措置を実施したことを確認するための措置も講じている。
We have incurred, and may continue to incur, certain expenses related to this attack, including expenses to respond to, remediate and investigate this matter. The full scope of the costs and related impacts of this incident, including the extent to which these costs will be offset by our cybersecurity insurance or potential indemnification claims against third parties, has not been determined. Although we are unable to predict the full impact of this incident on guest behavior in the future, including whether a change in our guests’ behavior could negatively impact our financial condition and results of operations on an ongoing basis, we currently do not expect that it will have a material effect on the Company’s financial condition and results of operations. 当社は、この件への対応、修復、調査のための費用を含め、この攻撃に関連する一定の費用を負担しており、今後も負担する可能性がある。これらの費用が当社のサイバーセキュリティ保険またはサードパーティに対する潜在的な補償請求によってどの程度相殺されるかを含め、このインシデントによる費用および関連する影響の全容は確定していない。ゲストの行動の変化が当社の財政状態および経営成績に継続的に悪影響を及ぼしうるかどうかを含め、このインシデントがゲストの行動に将来及ぼす影響を完全に予測することはできないが、現在のところ、当社の財政状態および経営成績に重大な影響を及ぼすとは予想していない。
The trust of our valued guests and members is deeply important to us, and we regret any concern or inconvenience this may cause. 大切なゲストと会員の皆様の信頼は当社にとって深く重要であり、このような事態によりご心配やご迷惑をおかけすることをお詫び申し上げます」と述べた。
For additional information, please visit [web] . Information set forth on that website is not incorporated herein by reference. 追加情報については、[web] まで。同ウェブサイトに記載された情報は、参照することにより本明細書に組み込まれるものではない。

 

ニュース


・2023.09.14 シーザーズ、システムに侵入したハッカーに数千万ドル支払い-関係者

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

 

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案

その他...

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.07.11 US-GAOの報告書 サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

Continue reading "米国 カジノホテルグループのシーザーズがサイバー攻撃を受けて8-Kを公表していますね。。。"

| | Comments (0)

経団連 警察庁サイバー警察局長との懇談会 -デジタル社会におけるサイバー空間の脅威への対応について意見交換

こんにちは、丸山満彦です。

経団連が、警察庁サイバー警察局長の河原さんと懇談会を開催した結果が、経団連タイムズに公表されていますね。。。

日本経済団体連合会 - 2023年9月14日 No.3605 

警察庁サイバー警察局長との懇談会を開催-デジタル社会におけるサイバー空間の脅威への対応について意見交換

 

河原さんのコメント

いいこと言っています。。。


...サプライチェーン全体を俯瞰したサイバーセキュリティの強化は、企業活動における不可欠な投資であることをあらためて認識してほしい。また、サイバーセキュリティへの取り組みに対する意識を醸成することが肝要である。そのうえで、自社だけでなく取り引きなどの相手先企業の対策にも留意してもらいたい。


 

企業への期待についても...


被害情報について警察に相談してもらいたい。警察としても意識改革を進め、被害発生時に通報・相談しやすい環境の整備に努める。企業が負担なく政府に情報共有できるよう、関係省庁とも協力していく


 

ついでに言うと、さらに

警察に連絡をしてくれたら、企業が対応するための適切な情報も提供するので、一緒に被害の拡大の防止をしましょう。あなたの企業にも、社会にも。。。

と言ってくれるとよいのですけど、きっとそうしてくれるでしょうね。。。GIve and Take。。。

 

1_20230617062301


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.17 経団連 サイバー安全保障に関する意見交換会を開催

・2022.12.10 経団連 「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見

・2022.10.15 経団連 サイバーセキュリティ経営宣言 2.0 (2022.10.11)

・2022.04.07 経団連 Society 5.0の扉を開く ― デジタル臨時行政調査会に対する提言 ― (2022.03.31)

・2021.07.15 経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」

 

古いですが...(^^)

・2005.03.16 日本経団連 企業の情報セキュリティのあり方に関する提言

 

 

| | Comments (0)

2023.09.15

個人情報保護委員会 サーマルカメラの使用等に関する注意喚起について

こんにちは、丸山満彦です。

サーマルカメラが、特定の個人を識別することができる顔画像を取得する機能を有しているかどうか等を確認の上、法にしたがって適切にとりあつかってくださいよ。。。ということですね。。。

こういうニュースもありましたからね。。。

読売新聞

・2023.05.25 検温カメラから顔画像流出、情報保護に警鐘…コロナ禍で知らずに記録

若江さんですね。。。

・温度をはかるために顔をつかって温度をはかっていた。

・その時に顔の写真も撮られていた。

・その写真が整理された状態でカメラに保管されていた。

・なので、個人情報の取得に該当していた。

・でも、そのサーマルカメラを使っていた事業者はそういう仕様となっていることを知らなかった

・なので、個人に利用目的の明示をしていなかった。。。

・そういう状況があきらかになったので、みなさん確認して、適切に取り扱ってくださいね。。。

・サーマルカメラ開発会社は、開発段階からプライバシーに配慮をすべきですね。。。輸入会社や利用会社もそういうことを確認してから取り扱いましょうね。。。ということですかね。。。

 

個人情報保護委員会

・ 2023.09.13 サーマルカメラの使用等に関する注意喚起について

・[PDF] サーマルカメラの使用等に関する注意喚起について

20230915-153918

 

 

 

| | Comments (0)

中国 2022年の西北工業大学へのサイバー攻撃は米国NSAのメンバーと特定

こんにちは、丸山満彦です。

米国をはじめとするFive Eyesは、サイバー攻撃者を逮捕、そこまではいかなくても、誰がやっているのか、アトリビューションを明らかにすることに力をいれていますが、中国もこれからは同様に、サイバー攻撃者のアトリビューションを明らかにしていくのでしょうかね。。。

2022年に西北工業大学 [wikipedia]へのサイバー攻撃について米国国家安全局 (NSA) が関与していたと、CCTVで報道していますね。。。政府機関のウェブページでは見つけられなかったのですが、CCTVで報道していますから、まぁ、そういうことなのでしょう。

西北工業大学は、双一流 (Double First Class University Plan [wikipedia]) 校の中でも上位校のようです。。。

分析をしたのは、「国家コンピュータウイルス緊急対応センター(中国国家计算机病毒应急处理中心)CVERC」[wikipedia] と「360」のようです。彼の分析によると踏み台サーバは、ドイツ、日本、韓国、インド、台湾に存在しているようですね。

 

CCTV

・2023.09.14 新证据!网攻西工大的神秘黑客身份被锁定,“间谍软件”是关键!

ビデオ...

・2023.09.14 [新闻直播间]“二次约会”间谍软件分析报告发布 

こちらは、SecondDateについての技術的な話もありますね。。。

・2023.09.14 新证据!网攻西工大的神秘黑客身份被锁定,“间谍软件”是关键!

 

少し追加の情報...

每日经济新闻综合央视新闻

・2023.09.14 再添新证!网攻西工大的神秘黑客身份被锁定,为美国国安局工作人员,“二次约会”间谍软件是关键

 

 

そういえば、今週は中国のサイバーセキュリティ週間となっていて、いろいろなイベントが各地で開催されているようです。。。

 

20230915-114838

 

興味深い内容が並んでいます!!!

 

 

 

 

| | Comments (0)

IISS サイバー対応能力と国家力 2回目の評価は10カ国

こんにちは、丸山満彦です。

英国の国際戦略研究所 (THE INTERNATIONAL INSTITUTE FOR STRATEGIC STUDIES: IISS) [wikipedia] がサイバー対応能力と国家力を評価しています。2021年は、世界で15カ国(米国、オーストラリア、カナダ、中国、フランス、イスラエル、ロシア、英国、インド、インドネシア、イラン、日本、マレーシア、北朝鮮、ベトナム)を選択し、三段階にわけましたが、今年は、10カ国(ブラジル、エストニア、ドイツ、オランダ、ナイジェリア、サウジアラビア、シンガポール、南アフリカ、トルコ、アラブ首長国連邦)となっています。。。

Tier Description 説明 Vol1 Vol2
TIer1 world-leading strengths in all the categories in the IISS cyber-power methodology. IISSのサイバーパワー手法におけるすべてのカテゴリーで世界トップレベルの強みを持つ。 United States  
Tier2 world-leading strengths in some of the categories in the IISS cyber-power methodology. IISSのサイバーパワー手法のいくつかのカテゴリーで世界トップレベルの実力を持つ。 Australia Germany
Canada Netherlands
China  
France  
Israel  
Russia  
United Kingdom  
Tier3 strengths or potential strengths in some of the categories in the IISS cyber-power methodology but significant weaknesses in others. IISSのサイバーパワー手法では、いくつかのカテゴリーで強みがある、あるいは強みがある可能性があるが、他のカテゴリーでは大きな弱みがある。 India Brazil
Indonesia Estonia
Iran Nigeria
Japan Saudi Arabia
Malaysia Singapore
North Korea South Africa
Vietnam Turkey
  United Arab Emirates

 

評価のポイントは次の7つです。

Strategy and doctrine 戦略とドクトリン
Governance, command and control ガバナンス、コマンド&コントロール
Core cyber-intelligence capability コア・サイバー・インテリジェンス能力
Cyber empowerment and dependence サイバーエンパワーメントと依存性
Cyber security and resilience サイバーセキュリティとレジリエンス
Global leadership in cyberspace affairs サイバー空間におけるグローバルリーダーシップ
Offensive cyber capability 攻撃的なサイバー能力

Tier3をもう少し細分化したほうがよいかもですね。。。

 

THE INTERNATIONAL INSTITUTE FOR STRATEGIC STUDIES: IISS 

・2023.09.07 Cyber Capabilities and National Power Volume 2

・[PDF] 本文

20230915-60739

 

・[PDF] Executive Summary

20230915-60925

 

・[PDF] Methodology

20230915-61145

 

 

Countries: 

1_20230915061801

 

Cyber Capabilities and National Power Volume 1

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.29 IISS サイバー対応能力と国家力 日本のサイバー能力はいけていない?

・2020.09.14 サイバーパワー世界ランキング

 

 

| | Comments (0)

2023.09.14

カナダ 連邦政府 生成的AI活用ガイド (2023.09.06)

こんにちは、丸山満彦です。

カナダ連邦政府が、連邦政府の職員向け?に生成的AI活用ガイドを発表していますね。。。

よく考えられているように思うので、まだ組織で生成的AIの利用ガイド等をつくっていないところは、参考にするとよいと思います。

ただ、カナダ連邦政府の場合は、ここに至る前に「自動意思決定に関する指令(Directive on Automated Decision-Making 
)」を2019.04.01に発効していて、その上にこのガイドが成り立っているということは理解しておいたほうがよいかもです。。。

また、2023.07.14 には、サイバーセキュリティセンター(CCCS)から、生成的AIのガイダンス (Generative artificial intelligence (AI) - ITSAP.00.041) も公開されています。。。

Flag_of_canadasvg

Government of CanadaAbout government - Government in a digital age - Digital government innovation - Responsible use of artificial intelligence (AI)

・2023.09.06 Guide on the use of Generative AI

Guide on the use of Generative AI 生成的AI活用ガイド
Table of contents 目次
Overview 概要
What is generative AI? 生成的AIとは何か?
Challenges and concerns 課題と懸念
Recommended approach 推奨されるアプローチ
Policy considerations and best practices 政策上の考慮事項とベストプラクティス
Use of this guide and additional support available 本ガイドの活用と追加サポート
Frequently asked questions よくある質問
Overview 概要
Generative artificial intelligence (AI) tools offer many potential benefits to Government of Canada (GC) institutions. Federal institutions should explore potential uses of generative AI tools for supporting and improving their operations. However, because these tools are evolving, they should not be used in all cases. Federal institutions must be cautious and evaluate the risks before they start using them. The use of these tools should be restricted to instances where risks can be effectively managed. 生成的人工知能(AI)ツールは、カナダ政府(GC)機構に多くの潜在的利益をもたらす。連邦政府機関は、業務を支援し改善するための生成的AIツールの潜在的な利用法を探るべきである。しかし、これらのツールは進化しているため、すべてのケースで使用すべきではない。連邦政府機関は、利用を開始する前に慎重を期し、リスクを評価しなければならない。これらのツールの使用は、リスクを効果的にマネジメントできる場合に限定すべきである。
This document provides preliminary guidance to federal institutions on their use of generative AI tools. This includes instances where these tools are deployed by federal institutions. It provides an overview of generative AI, identifies challenges and concerns relating to its use, puts forward principles for using it responsibly, and offers policy considerations and best practices. 本文書は、連邦機関が生成的AIツールを使用する際の予備的ガイダンスを提供する。これには、連邦機関がこれらのツールを導入する場合も含まれる。生成的AIの概要を説明し、その使用に関する課題と懸念を特定し、責任を持って使用するための原則を提示し、政策上の考慮事項とベストプラクティスを提供する。
This guide also seeks to raise awareness and foster coordination among federal institutions. It highlights the importance of engaging key stakeholders before deploying generative AI tools for public use and before using them for purposes such as service delivery. These stakeholders include legal counsel, privacy and security experts, and the Office of the Chief Information Officer at the Treasury Board of Canada Secretariat (TBS). 本ガイドブックはまた、連邦政府機関の認識を高め、連携を促進することを目的としている。生成的AIツールを公共用に展開する前や、サービス提供などの目的で使用する前に、主要な利害関係者を関与させることの重要性を強調している。これらの利害関係者には、法律顧問、プライバシーとセキュリティの専門家、カナダ財務省事務局(TBS)の最高情報責任者室などが含まれる。
The guide complements and supports compliance with many existing federal laws and policies, including in areas of privacy, security, intellectual property, and human rights. The guide is intended to be evergreen as TBS recognizes the need for iteration to keep pace with regulatory and technological change. 本ガイドは、プライバシー、セキュリティ、知的財産、人権の分野を含む、多くの既存の連邦法や政策を補完し、その遵守を支援するものである。TBSは、規制や技術の変化に対応するため、本ガイドを常に進化させる必要性を認識している。
What is generative AI? 生成的AIとは何か?
The Directive on Automated Decision-Making defines AI as information technology that performs tasks that would ordinarily require biological brainpower to accomplish, such as making sense of spoken language, learning behaviours, or solving problems. 自動意思決定に関する指令は、AIを、話し言葉の理解、行動の学習、問題の解決など、通常は生物学的な脳力を必要とするタスクを実行する情報技術と定義している。
Generative AI is a type of AI that produces content such as text, audio, code, videos and images. Footnote1 This content is produced based on information that the user inputs, which consists of prompts (typically short instructional texts). 生成的AIは、テキスト、音声、コード、動画、画像などのコンテンツを生成するAIの一種である。脚注1 このコンテンツは、プロンプト(通常は短い指示文)からなるユーザーが入力した情報に基づいて生成される。
Examples of generative AI tools include chatbots such as ChatGPT and Bing Chat; GitHub Copilot, which produces code based on text prompts; and DALL-E, Midjourney and Stable Diffusion, which produce images from text or image prompts. In addition, generative AI models can be fine-tuned, or custom models can be trained and deployed to meet an organization’s needs. Footnote2 生成的AIツールの例としては、ChatGPTやBing Chatなどのチャットボット、テキストのプロンプトに基づいてコードを生成するGitHub Copilot、テキストや画像のプロンプトから画像を生成するDALL-E、Midjourney、Stable Diffusionなどがある。さらに、生成的AIモデルを微調整したり、組織のニーズに合わせてカスタムモデルをトレーニングして導入することもできる。脚注2
Many generative AI models have been trained on large volumes of data, including publicly available data from the Internet. Based on the training data, these models generate content that is statistically likely in response to a prompt, Footnote3 for example, by predicting the next word in a sentence. Techniques such as human supervision and reinforcement learning can also be applied to further improve the outputs, Footnote3
and users can provide feedback or change their prompt to refine the response. Generative AI can therefore produce content that looks as though a human produced it.
生成的AIモデルの多くは、インターネットから一般に入手可能なデータを含む、大量のデータで訓練されている。これらのモデルは学習データに基づいて、例えば文中の次の単語を予測するなどして、プロンプトに対して統計的に可能性の高いコンテンツを生成する。また、人間の監視や強化学習などの技術を適用して、Footnote3の出力をさらに改善することもでき、プロバイダはフィードバックを提供したり、プロンプトを変更して応答を洗練させることができる。そのため生成的AIは、あたかも人間が作成したかのようなコンテンツを作成することができる。
Generative AI can be used to perform or support various tasks including: 生成的AIは、以下のようなさまざまなタスクの実行やサポートに使用できる:
・writing and editing documents and emails ・文書や電子メールの作成・編集
・coding tasks, such as debugging and generating templates and common solutions ・デバッグ、テンプレートや一般的なソリューションの生成などのコーディング作業
・summarizing information ・情報を要約する
・brainstorming ・ブレインストーミング
・research, translation and learning ・リサーチ、翻訳、学習
・providing support to clients (for example, answering questions, troubleshooting) ・クライアントへのサポート提供(質問への回答、トラブルシューティングなど)
Challenges and concerns 課題と懸念
Before federal institutions start using generative AI tools, they must assess and mitigate certain ethical, legal and other risks. For example, these tools can generate inaccurate content; amplify biases; and violate intellectual property, privacy and other laws. Further, some tools may not meet federal privacy and security requirements. When institutions use these tools, they must protect personal information and sensitive data. As well, because these tools generate content that can look as though a human produced it, people might not be able to tell whether they are interacting with a person or a tool. The use of these tools can also affect the skill and judgment of public servants and can have environmental costs. 連邦機関が生成的AIツールの使用を開始する前に、倫理的、法的、その他のリスクを評価し、軽減する必要がある。例えば、これらのツールは不正確なコンテンツを生成したり、バイアスを増幅させたり、知的財産権、プライバシー、その他の法律に違反したりする可能性がある。さらに、一部のツールは、連邦政府のプライバシーおよびセキュリティ要件を満たしていない可能性がある。機構がこれらのツールを使用する場合、個人情報や機密データを保護しなければならない。また、これらのツールは、あたかも人間が作成したかのようなコンテンツを生成するため、人々は、自分が人とやりとりしているのか、それともツールとやりとりしているのかを見分けることができないかもしれない。このようなツールの使用は、公務員のスキルや判断力にも影響を与え、環境コストも発生させる可能性がある。
Generative AI tools rely on models that pose various challenges, including limited transparency and explainability. They also rely on training data that is difficult to access and assess. These challenges stem in part from large model sizes, high volumes of training data, and the proprietary nature of many of the tools. In addition, the outputs of the models are constrained by the prompts and the training data, which may lack context that is not publicly available on the Internet. Training data could also be outdated; for example, ChatGPT is trained on data up to 2021, so it has a limited ability to provide information on events after that. Footnote4 Footnote5 As well, these tools have limitations that reduce their utility for certain purposes; for example, they tend to perform poorly on tasks related to emotion. Footnote6 Footnote7 生成的AIツールは、透明性や説明可能性に限界があるなど、さまざまな課題をもたらすモデルに依存している。また、アクセスや評価が困難な学習データにも依存している。これらの課題は、モデルのサイズが大きいこと、学習データが大量であること、多くのツールが独自仕様であることなどに起因している。さらに、モデルの出力は、プロンプトとトレーニングデータによって制約を受ける。例えば、ChatGPTは2021年までのデータでトレーニングされているため、それ以降のイベントに関する情報を提供する能力は限られている。脚注4 脚注5 同様に、これらのツールには特定の目的に対する有用性を低下させる限界がある。例えば、感情に関連するタスクでは性能が低い傾向がある。脚注6 脚注7
Generative AI could also pose risks to the integrity and security of federal institutions, given its potential misuse by threat actors. Federal institutions should be aware of these risks and ensure that the necessary mitigation measures are in place in accordance with the Canadian Centre for Cyber Security’s guidance on generative AI. 生成的AIは、脅威行為者によって悪用される可能性があることから、連邦機関の完全性と安全性にもリスクをもたらす可能性がある。連邦機関はこうしたリスクを認識し、生成的AIに関するカナダ・サイバーセキュリティセンターのガイダンスに従って、必要な低減措置を確実に講じるべきである。
Recommended approach 推奨されるアプローチ
Federal institutions should explore how they could use generative AI tools to support their operations and improve outcomes for Canadians. However, given the challenges and concerns relating to these tools, institutions should assess and mitigate risks and should restrict their use to activities where they can manage the risks effectively. Given the growing adoption of these technologies in different sectors and by the public, their use in government will help keep pace with the evolving digital landscape. 連邦機関は、生成的AIツールをどのように活用すれば業務を支援し、カナダ国民の成果を改善できるかを検討すべきである。しかし、これらのツールに関する課題や懸念を考慮すると、機構はリスクをアセスメントし、軽減し、リスクを効果的にマネジメントできる活動に使用を制限すべきである。様々なセクターや一般市民によるこれらのテクノロジーの導入が進んでいることを考えると、政府におけるこれらのツールの利用は、デジタル環境の進化に歩調を合わせるのに役立つだろう。
Federal institutions should evaluate the tools for their potential to help employees, not replace them. When deciding whether to use generative AI tools, public servants should refer to the guide to ethical decision-making in section 6 of Values Alive: A Discussion Guide to the “Values and Ethics Code for the Public Sector.” 連邦機関は、職員に取って代わるのではなく、職員を助ける可能性のあるツールを評価すべきである。生成的AIツールを使用するかどうかを決定する際、公務員は『Values Alive』の第6章にある「倫理的意思決定の指針」を参照すべきである。
To maintain public trust and ensure the responsible use of generative AI tools, federal institutions should align with the “FASTER” principles: 国民の信頼を維持し、生成的AIツールの責任ある使用を確保するために、連邦機関は「FASTER」原則に沿うべきである:
Fair: ensure that content from these tools does not include or amplify biases and that it complies with human rights, accessibility, and procedural and substantive fairness obligations 公正:これらのツールから得られるコンテンツがバイアスを含んだり増幅したりしないようにし、人権、アクセシビリティ、手続き上および実質上の公正義務を遵守する。
Accountable: take responsibility for the content generated by these tools. This includes making sure it is factual, legal, ethical, and compliant with the terms of use 説明責任:これらのツールによって生成されたコンテンツに責任を持つ。これには、事実に基づいているか、合法的か、倫理的か、利用規約を遵守しているかを確認することも含まれる。
Secure: ensure that the infrastructure and tools are appropriate for the security classification of the information and that privacy and personal information are protected 防御:インフラとツールが情報のセキュリティ分類に適しており、プライバシーと個人情報が保護されていることを確認する。
Transparent: identify content that has been produced using generative AI; notify users that they are interacting with an AI tool; document decisions and be able to provide explanations if tools are used to support decision-making 透明性:生成的AIを使用して作成されたコンテンツを識別すること、AIツールとやりとりしていることを利用者に通知すること、意思決定を支援するためにツールが使用されている場合、意思決定を文書化し、説明を提供できるようにすること。
Educated: learn about the strengths, limitations and responsible use of the tools; learn how to create effective prompts and to identify potential weaknesses in the outputs 教育:ツールの長所、限界、責任ある使用について学び、効果的なプロンプトの作成方法を学び、出力の潜在的な弱点を特定する。
Relevant: make sure the use of generative AI tools supports user and organizational needs and contributes to improved outcomes for Canadians; identify appropriate tools for the task; AI tools aren’t the best choice in every situation 関連性:生成的AIツールの使用が、ユーザーと組織のニーズをサポートし、カナダ人の成果改善に貢献することを確認する。
For assistance in determining the appropriate use of these tools, public servants should engage with relevant stakeholders such as their institution’s legal services, privacy and security experts, Chief Information Office, Chief Data Office and diversity and inclusion specialists. As well, the Canadian Centre for Cyber Security, Statistics Canada and the Office of the Chief Information Officer at TBS are also available to support federal institutions in the responsible use of these tools. これらのツールの適切な使用を決定するための支援として、公務員は各機関の法務サービス、プライバシーとセキュリティの専門家、最高情報責任者、最高データ管理責任者、ダイバーシティとインクルージョンの専門家など、関連する利害関係者と関わるべきである。また、Canadian Centre for Cyber Security(カナダ・サイバーセキュリティセンター)、Statistics Canada(カナダ統計局)、TBSのOffice of the Chief Information Officer(最高情報責任者室)も、連邦機関がこれらのツールを責任を持って使用するためのサポートを行っている。
Policy considerations and best practices 政策上の考慮事項とベストプラクティス
Does the Directive on Automated Decision-Making apply? 自動意思決定に関する指令は適用されるか?
The  Directive on Automated Decision-Making applies to automated systems, including those that rely on AI, used to influence or make administrative decisions. Like other AI systems, generative AI systems have capabilities that allow them to make assessments or determinations about clients in service delivery. For example, a generative AI system could be used to summarize a client’s data or to determine whether they are eligible for a service. Footnote8 These administrative uses have the potential to affect how an officer views and decides on a case, which has implications for the client’s rights, interests or privileges. The directive therefore applies to the use of generative AI systems to make or inform administrative decisions. 自動意思決定に関する指令は、行政上の意思決定に影響を与えたり決定したりするために使用される、AIに依存するものを含む自動化システムに適用される。他のAIシステムと同様、生成的AIシステムにも、サービス提供におけるクライエントの評価や決定を行うことができる機能がある。例えば、生成的AIシステムは、クライアントのデータを要約したり、サービスを受ける資格があるかどうかを判断したりするために使用することができる。脚注8 こうした行政上の利用は、担当官が案件をどのように見て判断するかに影響を及ぼす可能性があり、それはクライアントの権利、利益、または特権に影響を及ぼす。したがって、この指令は、行政上の決定を下すため、または行政上の決定に情報を提供するための生成的AIシステムの使用に適用される。
However, generative AI may not be suited for use in administrative decision-making at this stage. The design and functioning of generative models can limit federal institutions’ ability to ensure transparency, accountability and fairness in decisions made by generative AI systems or informed by their outputs. As well, the terms of use for the generative AI products of many leading technology companies prohibit using their products to make high-impact decisions. For example, OpenAI instructs users not to employ ChatGPT in decisions about credit, employment, educational institutions, or public assistance services; law enforcement and criminal justice; and migration and asylum. Footnote9 Similarly, Google prohibits users of their generative AI product from making “automated decisions in domains that affect material or individual rights or well-being.” Footnote10 These limitations underscore the importance of complying with the directive’s requirement to consult legal services during the design phase of an automation project. The consultation allows federal institutions to understand the legal risks of administrative uses of generative AI systems both for themselves and for their clients. しかし、生成的AIは、現段階では行政上の意思決定に使用するには適さないかもしれない。生成的モデルの設計と機能は、生成的AIシステムによって下された、あるいはその出力によって知らされた意思決定の透明性、説明責任、公平性を確保する連邦機関の能力を制限する可能性がある。また、多くの大手テクノロジー企業の生成的AI製品の利用規約は、影響力の大きい意思決定を行うためにその製品を使用することを禁じている。例えば、オープンAIは、信用、雇用、教育機関、公的扶助サービス、法執行と刑事司法、移民と亡命に関する意思決定にChatGPTを使用しないようユーザーに指示している。脚注9 同様に、グーグルは生成的AI製品のユーザーに対し、「物質的または個人の権利や幸福に影響を与える領域における自動化された決定」を行うことを禁止している。脚注10 これらの制限は、自動化プロジェクトの設計段階で法律事務所に相談するという指令の要件を遵守することの重要性を強調している。この相談によって、連邦機関は、自分たちのためにもクライアントのためにも、生成的AIシステムの行政利用の法的リスクを理解することができる。
Not all uses of generative AI are subject to the directive. For example, using generative tools in research or to brainstorm, plan, or draft routine correspondence falls outside the scope of the directive. However, such non-administrative uses are still subject to the laws and policies that govern federal institutions. 生成的AIのすべての用途が指令の対象となるわけではない。例えば、研究、ブレーンストーミング、計画、日常的な通信文のドラフトに生成ツールを使用することは、指令の範囲外である。しかし、このような非管理的な使用は、依然として連邦政府機構をガバナンスする法律やポリシーの対象となる。
Privacy considerations プライバシーへの配慮
As with any online system, personal information should not be entered into a generative AI tool or service unless a contract is in place with the supplier and covers how the information will be used and protected. Before using a generative AI tool, federal institutions must also make sure that the collection and use of personal information, including information used to train the tool, meets their privacy obligations. 他のオンラインシステムと同様、供給業者と契約が締結され、情報の使用方法と保護方法が網羅されていない限り、生成的AIツールやサービスに個人情報を入力すべきではない。生成的AIツールを使用する前に、連邦機関は、ツールの訓練に使用される情報を含む個人情報の収集と使用が、プライバシー保護義務を満たしていることも確認しなければならない。
All personal information used by, created or obtained through, and disclosed for the use of generative AI by federal institutions is subject to the requirements of the Privacy Act and related policy instruments. This means that: 連邦政府機関が生成的AIを使用するために使用し、生成または取得し、開示するすべての個人情報は、個人情報保護法および関連する政策文書の要件に従う。これは次のことを意味する:
・personal information can only be collected if it is directly related to the program or activity ・個人情報は、プログラムや活動に直接関連する場合のみ収集できる。
・it may only be used for the purpose for which it was collected or for a use consistent with that purpose ・個人情報は、収集された目的またはその目的に沿った用途にのみ使用できる。
・it has limited permissible disclosures outlined in the legislation ・個人情報の開示は法律で制限されている。
・institutions must be transparent about how they treat and safeguard the personal information they collect once it is under the control of the government ・機関は、収集した個人情報が政府の管理下に置かれた後、どのように扱い、保護するかについて透明性を持たなければならない。
The privacy risks will vary based on how the AI tool collects and processes information about individuals and, potentially, makes decisions about them. An AI tool could, for example, decide whether someone is eligible for a service, determine the level of benefit someone is entitled to, or process survey data to inform policy direction. プライバシーのリスクは、AIツールがどのように個人に関する情報を収集・処理し、潜在的には個人に関する意思決定を行うかによって異なる。例えば、AIツールは、誰かがサービスを受ける資格があるかどうかを決定したり、誰かが受ける権利がある給付のレベルを決定したり、政策の方向性を知らせるために調査データを処理したりすることができる。
The Privacy Act requires that a government institution take all reasonable steps to ensure that personal information that is used for an administrative purpose by the institution is as accurate, up-to-date and complete as possible. When using a generative AI system to make or inform decisions about individuals, federal institutions must have confidence that the personal information the system collects, creates or uses is accurate. For this reason, direct collection from the individual is required in most situations. Direct collection also allows for the individual to be notified of the collection and of how their information will be used and managed. 個人情報保護法は、政府機関が行政目的のために使用する個人情報が、可能な限り正確で、最新かつ完全であることを保証するために、あらゆる合理的な措置を講じることを義務付けている。生成的AIシステムを使用して個人に関する決定を下したり、情報を提供したりする場合、連邦政府機関は、システムが収集、作成、使用する個人情報が正確であるという確信を持たなければならない。このため、ほとんどの場合、本人からの直接収集が必要となる。直接収集することで、個人は収集について、また自分の情報がどのように使用・管理されるかについて通知される。
If the output of a generative AI tool results in the creation of new personal information, the new information must also be managed according to privacy requirements. For example, a summary of an application for a service or benefit produced by a generative AI tool could constitute new personal information. Users should validate any personal information created by a generative AI tool to make sure that it is accurate, up-to-date and complete. As well, users must ensure that any new personal information is not disclosed for a purpose that is inconsistent with that for which it was collected. From the example above, sharing the new information about the individual with a different program for an unrelated benefit may not be appropriate and may constitute a privacy breach. 生成的AIツールの出力によって新たな個人情報が作成される場合、その新たな情報もプライバシー要件に従って管理されなければならない。例えば、生成的AIツールによって生成されたサービスや便益の申し込みの要約は、新たな個人情報を構成する可能性がある。ユーザーは、生成的AIツールによって作成された個人情報が正確で、最新で、完全なものであることを確認するために、それを検証しなければならない。また、利用者は、新たな個人情報が、それが収集された目的と矛盾する目的のために開示されないようにしなければならない。上記の例からすると、個人に関する新しい情報を、無関係な利益のために別のプログラムと共有することは適切でない可能性があり、プライバシー侵害を構成する可能性がある。
Federal institutions must also make sure that all personal information they collect and use can be made available to the individual concerned and that the individual can access and correct it upon request. Federal institutions must retain personal information that is used to make a decision about an individual for at least two years. This gives the individual enough time to exercise their right to access and correct the information. Federal institutions should not hold onto personal information for longer than required. The longer federal institutions hold personal information, the greater the likelihood of a potential privacy breach. 連邦機関はまた、収集し利用するすべての個人情報を当該本人が利用できるようにし、本人が要求に応じてアクセスし訂正できるようにしなければならない。連邦機関は、個人に関する決定に使用された個人情報を少なくとも2年間保持しなければならない。これは、個人が情報にアクセスし、訂正する権利を行使するのに十分な期間を与えるものである。連邦機関は、個人情報を必要以上に長く保持すべきではない。連邦機関が個人情報を保有する期間が長ければ長いほど、プライバシー侵害の可能性が高まる。
De-identification and the use of synthetic data can help institutions reduce the impact and likelihood of privacy breaches when training, using and evaluating the outputs of generative AI tools. Privacy Implementation Notice 2023-01: De-identification contains more information about these privacy preserving techniques. Other safeguards such as administrative controls, access rights, and auditing are also important to reduce the risk of inadvertent disclosure or unauthorized access, re-identification or inference, and to generally preserve the privacy of individuals. 非識別化と合成データの使用は、機関が生成的AIツールの出力を訓練、使用、評価する際に、プライバシー侵害の影響と可能性を減らすのに役立つ。プライバシー実施通知2023-01 個人情報保護実施通知2023-01:個人情報の非識別化」には、これらの個人情報保護技術に関する詳細が記載されている。管理統制、アクセス権、監査などのその他の保護措置も、不注意による開示や不正アクセス、再識別、推論のリスクを低減し、一般的に個人のプライバシーを保護するために重要である。
Before considering procuring, using or deploying generative AI tools, federal institutions’ privacy officials must determine whether a Privacy Impact Assessment is needed. 生成的AIツールの調達、使用、配備を検討する前に、連邦機関のプライバシー担当者は、プライバシー影響評価が必要かどうかを判断しなければならない。
When federal institutions are building IT solutions that use generative AI, they must make sure they meet privacy requirements. The Digital Privacy Playbook contains more information on these requirements and on how to incorporate privacy guidance into IT solutions that use generative AI. 連邦機関が生成的AIを使用するITソリューションを構築する場合、プライバシー要件を満たしていることを確認しなければならない。デジタル・プライバシー・プレイブック』には、これらの要件と、生成的AIを使用するITソリューションにプライバシーガイダンスを組み込む方法の詳細が記載されている。
Potential issues and best practices 潜在的な問題とベスト・プラクティス
The following section provides a brief overview of several areas of risk and sets out best practices for the responsible use of generative AI in federal institutions. In addition to the best practices identified for all users of generative AI in the federal government, best practices specific to federal institutions developing or deploying these tools are also identified to ensure that risks are appropriately assessed and mitigated, and to distinguish between the responsibilities of users and developers. 以下のセクションでは、いくつかのリスク領域を簡単に概観し、連邦機関における生成的AIの責任ある使用のためのベストプラクティスを示す。連邦政府における生成的AIの全ユーザーのために特定されたベスト・プラクティスに加えて、リスクが適切にアセスメントされ、低減されることを保証し、ユーザーと開発者の責任を区別するために、これらのツールを開発または導入する連邦機関に固有のベスト・プラクティスも特定される。
Protection of information 情報の防御
Issue: some generative AI tools do not meet government information security requirements 課題:一部の生成的AIツールは、政府の情報セキュリティ要件を満たしていない。
The protection of personal, classified, protected and proprietary information is critical when using generative AI systems. The providers of some generative AI tools may inspect input data or use this data to further train their models, which could result in privacy and security breaches. Risks can also arise from input data being stored on servers not controlled by the GC, where data might be retained for longer than necessary, made accessible, further distributed, or vulnerable to a data breach. Footnote11 Some tools, public or otherwise, may not meet privacy and security requirements established in federal law and policy. 生成的AIシステムを使用する場合、個人情報、機密情報、保護情報、専有情報の保護は極めて重要である。一部の生成的AIツールのプロバイダは、入力データを検査したり、このデータを使ってモデルをさらに訓練したりすることがあり、その結果、プライバシーやセキュリティが侵害される可能性がある。また、GCが管理していないサーバーに入力データが保存され、データが必要以上に長く保持されたり、アクセス可能になったり、さらに配布されたり、データ侵害の脆弱性が生じたりするリスクも生じうる。脚注11 公共のものであれ、そうでないものであれ、一部のツールは、連邦法や政策で確立されたプライバシーやセキュリティの要件を満たしていない場合がある。
Best practices for all users of generative AI in federal institutions 連邦機関において生成的AIを利用するすべてのユーザーにとってのベストプラクティス
・Don’t enter sensitive or personal information into any tools not managed by the GC. ・GCが管理していないツールに機密情報や個人情報を入力しない。
・Don’t submit queries on non-GC managed tools that could undermine public trust if they were disclosed. Refer to Appendix B of the Directive on Service and Digital for examples of unacceptable uses. ・GCが管理していないツールに、公開された場合に社会的信用を損なうようなクエリーを提出しない。容認できない使用例については、「サービスおよびデジタルに関する指令」の附属書Bを参照のこと。
・Understand how a system uses input data (for example, whether it’s used as training data or accessible to providers). ・システムが入力データをどのように使用しているか(例えば、トレーニングデータとして使用されているか、プロバイダがアクセスできるかなど)を理解する。
・Ask legal services and the departmental chief security officer (CSO) to review a supplier’s terms of use, privacy policy and other legal documents before using any system to process sensitive or proprietary information. ・機密情報または専有情報を処理するシステムを使用する前に、法務部および部門の最高セキュ リティ責任者(CSO)に、サプライヤーの利用規約、プライバシーポリシー、その他の法 的文書を確認するよう依頼する。
・Use infrastructure and tools that are appropriate for the security classification of the information, in accordance with the Directive on Security Management. ・セキュリティ管理に関する指令」に従い、情報のセキュリティ分類に適したイン フラとツールを使用する。
・Consult the departmental CSO before using, procuring or deploying generative AI for protected or other sensitive information. ・保護された情報またはその他の機密情報に対して生成的AIを使用、調達または配備する前に、部門CSOに相談する。
Consider the requirements for information and data residency in the Directive on Service and Digital and the related guidance in the Guideline on Service and Digital. ・サービスおよびデジタルに関する指令の情報およびデータの居住に関する要件と、サービスおよびデジタルに関するガイドラインの関連ガイダンスを考慮する。
・Use the “opt-out” feature, where possible, to ensure that prompts are not used to train or further develop an AI system. ・可能であれば「オプトアウト」機能を使用し、プロンプトがAIシステムの訓練やさらなる開発に使用されないようにする。
Additional best practices for federal institutions deploying a generative AI tool 連邦機関が生成的AIツールを導入する際のその他のベストプラクティス
・Conduct regular system testing prior to and throughout the operation of a system to ensure that it meets key performance targets. ・システムの運用開始前および運用期間中、定期的にシステムテストを実施し、システムが主要なパフォーマンス目標を満たしていることを確認する。
・Plan independent audits for assessing generative AI systems against risk and impact frameworks. ・生成的AIシステムをリスクと影響の枠組みに照らして評価するための独立監査を計画する。
Bias バイアス
Issue: generated content may amplify biases or other harmful ideas that are dominant in the training data 問題:生成されたコンテンツは、学習データで優勢なバイアスやその他の有害な考えを増幅する可能性がある。
Generative AI tools can produce content that is discriminatory or not representative, or that includes biases or stereotypes (for example, biases relating to multiple and intersecting identity factors such as gender, race and ethnicity). Footnote12 Footnote13 Footnote14 Many generative models are trained on large amounts of data from the Internet, which is often the source of these biases. For example, training data is likely to reflect predominant historical biases and may not include perspectives that are less prevalent in the data or that have emerged since the model was trained. Footnote12 Other sources that may contribute to biased content include data filtering, which can amplify the biases in the original training set, Footnote15 framing of the prompt, Footnote16 and model bias. Widespread use of these technologies could amplify or reinforce these biases and dominant viewpoints, and lead to less diversity in ideas, perspectives and language, Footnote12 Footnote17 as well as potential harms. 生成的AIツールは、差別的であったり、代表者でなかったり、バイアスやステレオタイプ(例えば、ジェンダー、人種、民族性などの複数の交差するアイデンティティ要因に関するバイアス)を含むコンテンツを生成する可能性がある。脚注12 脚注13 脚注14 多くの生成モデルは、こうしたバイアスの原因となりがちなインターネットからの大量のデータで学習される。例えば、学習データは歴史的に優勢なバイアスを反映している可能性が高く、データにあまり見られない視点や、モデルの学習後に出現した視点が含まれていない可能性がある。脚注12 偏った内容の一因となりうる他の原因としては、元の訓練セットのバイアスを増幅しうるデータのフィルタリング、脚注15 プロンプトのフレーミング、脚注16 モデルのバイアスなどがある。これらの技術が広く使用されることで、これらのバイアスや支配的な視点が増幅または強化され、潜在的な害だけでなく、アイデア、視点、言語の多様性の低下につながる可能性がある。
Best practices for all users of generative AI in federal institutions 連邦機関において生成的AIを利用するすべてのユーザーのためのベストプラクティス
・Review generated content to ensure that it aligns with GC commitments, values and ethics and meets legal obligations. This includes assessing for biases or stereotypical associations. ・生成されたコンテンツがGCのコミットメント、価値観、倫理に合致し、法的義務を満たしていることを確認するために、生成されたコンテンツをレビューする。これには、バイアスやステレオタイプな連想の評価が含まれる。
・Formulate prompts to generate content that provides holistic perspectives and minimizes biases. ・全体的な視点を提供し、バイアスを最小限に抑えるコンテンツを生成するためのプロンプトを策定する。
・Strive to understand the data that was used to train the tool, for example, where it came from, what it includes, and how it was selected and prepared. ・ツールを訓練するために使用されたデータ、例えば、それがどこから来たのか、何が含まれ ているのか、どのように選択され準備されたのかを理解するよう努める。
・Learn about bias, diversity, inclusion, anti-racism, and values and ethics to improve your ability to identify biased or discriminatory content. ・バイアス、多様性、インクルージョン、反人種主義、価値観と倫理について学び、偏見や差別的なコンテンツを識別する能力を向上させる。
・Notify recipients when content has been produced by generative AI. ・コンテンツが生成的AIによって作成された場合、取得者に通知する。
Additional best practices for federal institutions deploying a generative AI tool 連邦機関が生成的AIツールを導入する際のその他のベストプラクティス
・Consider potential biases and mitigation approaches from the planning and design stage, including by completing a gender-based analysis plus (GBA Plus) to understand how your deployment of generative AI tools might impact different population groups. ・生成的AIツールの導入が異なる集団にどのような影響を与えるかを理解するために、ジェンダーに基づく分析プラス(GBA Plus)を完了することを含め、計画・設計段階から潜在的なバイアスと低減アプローチを考慮する。
・Consult GBA Plus and other diversity and inclusion experts in your organization to identify impacts of the use of generative AI tools on different population groups and to develop measures to address those impacts. ・生成的AIツールの使用が異なる集団に与える影響を特定し、それらの影響に対処するための対策を開発するために、GBAプラスおよび組織内の他の多様性と包摂の専門家に相談する。
・Test for biases in the data, model and outputs before deploying a system, and on an ongoing basis. ・システム導入前および継続的に、データ、モデル、出力にバイアスがないかテストする。
Quality 品質
Issue: generated content may be inaccurate, incoherent or incomplete 問題:生成されたコンテンツは不正確、支離滅裂、不完全である可能性がある。
Generative AI technologies can produce content that appears to be well developed, credible and reasonable but that is in fact inaccurate, nonsensical or inconsistent with source data. Footnote18 Footnote19 This content is sometimes referred to as a “hallucination.” Also, content generated by AI tools may not provide a holistic view of an issue. Instead, it may focus on prevalent perspectives in the training data. Footnote12 It also might be out of date, depending on the time period the training data covers and whether the system has live access to recent data. The quality of the tools and outputs in different languages should also be considered to ensure compliance with official languages requirements. 生成的AI技術は、よく練られ、信頼性が高く、合理的であるように見えるが、実際には不正確であったり、無意味であったり、ソースデータと矛盾していたりするコンテンツを生成する可能性がある。脚注18 脚注19 このようなコンテンツは "幻覚 "と呼ばれることもある。また、AIツールによって生成されたコンテンツは、問題の全体的な見方を提供しないことがある。その代わりに、学習データにおいて一般的な視点に焦点を当てている可能性がある。脚注12 また、学習データがカバーしている期間や、システムが最新のデータにライブでアクセスできるかどうかによっては、古くなっている可能性もある。公用語要件への準拠を確実にするため、異なる言語におけるツールおよびアウトプットの質も考慮すべきである。
The risks associated with inaccurate content will vary based on the context and should be assessed. For example, using generative AI tools to learn about a topic may produce incorrect information or non-existent sources, Footnote20 which, if used in decision-making, could lead to unfair treatment of individuals or misguided policy. As well, the use of generative AI tools for public-facing communications could result in the government sharing inaccurate information, which would contribute to misinformation and erode public trust. 不正確なコンテンツに関連するリスクは文脈によって異なるため、リスクアセスメントを行う必要がある。例えば、あるトピックについて学習するために生成的AIツールを使用すると、誤った情報や存在しない情報源(脚注20)が生成される可能性があり、これが意思決定に使用されると、個人の不当な扱いや誤った政策につながる可能性がある。また、一般市民向けのコミュニケーションに生成的AIツールを使用すると、政府が不正確な情報を共有することになり、誤情報を助長して国民の信頼を損なう可能性がある。
Best practices for all users of generative AI in federal institutions 連邦機関において生成的AIを利用するすべてのユーザーにとってのベストプラクティス
・Clearly indicate that you have used generative AI to develop content. ・コンテンツ開発に生成的AIを使用していることを明確に示す。
・Don’t consider generated content as authoritative. Review it for factual and contextual accuracy by, for example, checking it against information from trusted sources. ・生成されたコンテンツを権威あるものとみなしてはならない。信頼できる情報源の情報と照合するなど、事実関係や文脈の正確性を確認する。
・Review personal information created using generative AI to ensure it is accurate, up-to-date and complete. ・生成的AIを用いて作成された個人情報が正確で、最新かつ完全であることを確認する。
・Assess the impact of inaccurate outputs. Don’t use generative AI when factual accuracy or data integrity is needed. ・不正確な出力が与える影響を評価する。事実の正確性やデータの完全性が必要な場合には、生成的AIを使用しない。
・Strive to understand the quality and source of training data. ・学習データの質とソースの理解に努める。
・Consider your ability to identify inaccurate content before you use generative AI. Don’t use it if you can’t confirm the content quality.・ ・生成的AIを使用する前に、不正確なコンテンツを識別する能力を検討する。コンテンツの品質を確認できない場合は使用しない。
・Learn how to create effective prompts and provide feedback to refine outputs to minimize the generation of inaccurate content. ・効果的なプロンプトを作成し、フィードバックを提供することで、不正確なコンテンツの生成を最小限に抑える。
Additional best practices for federal institutions deploying a generative AI tool 連邦政府機関が生成的AIツールを導入する際のその他のベストプラクティス
・Make sure the quality of tools and outputs meets official languages requirements before deployment. ・ツールおよびアウトプットの品質が公式言語要件を満たしていることを、導入前に確認する。
・Notify users that they are interacting with generative AI. ・ユーザーが生成的AIとやりとりしていることを通知する。
・Use watermarks to help users identify content generated by AI. ・ユーザーが生成的AIによって生成されたコンテンツを識別できるよう、透かしを使用する。
・When content is generated by AI, provide links to authoritative sources and encourage users to verify the content at the links provided. ・コンテンツが生成的AIによって生成された場合、権威ある情報源へのリンクをプロバイダに提供し、提供されたリンクでコンテンツを確認するよう利用者に促す。
・Provide information about the source of training data and how models were developed. ・学習データのソースやモデルの開発方法に関する情報を提供する。
Public servant autonomy 公務員の自律性
Issue: overreliance on AI can unduly interfere with judgment, stifle creativity and erode workforce capabilities 課題:AIへの過度の依存は、判断を不当に妨げ、創造性を抑制し、労働力を蝕む可能性がある。
Overreliance on generative AI tools can interfere with individual autonomy and judgment. For example, some users may be prone to uncritically accept system recommendations or other outputs, which could be incorrect. Footnote21  Footnote22 Overreliance on the system can be a sign of automation bias, which is a tendency to favour results generated by automated systems, even in the presence of contrary information from non-automated sources. Footnote21 As well, confirmation bias can contribute to overreliance Footnote21 because the outputs of generative AI systems can reinforce users’ preconceptions, especially when prompts are written in a way that reflects the user’s assumptions and beliefs. Footenote23 Overreliance on AI systems can result in a decline in critical thinking and can limit diversity in thought, thereby stifling creativity and innovation and resulting in partial or incomplete analyses. Overreliance on AI can impede employees’ ability to build and maintain the skills they need to complete tasks that are assigned to generative AI systems. This could reinforce the government’s reliance on AI and potentially erode workforce capabilities. 生成的AIツールへの過度の依存は、個人の自律性と判断を妨げる可能性がある。例えば、ユーザーによってはシステムの推奨やその他の出力を無批判に受け入れてしまいがちだが、それは正しくない可能性がある。システムに対する過度の信頼は、自動化バイアスの兆候である可能性がある。自動化バイアスとは、自動化されていない情報源からの反対情報がある場合でも、自動化システムによって生成された結果を好む傾向のことである。生成的AIシステムの出力がユーザーの先入観を強化する可能性があるためで、特にプロンプトがユーザーの思い込みや信念を反映するような書き方をしている場合はなおさらである。脚注23 AIシステムに過度に依存すると、批判的思考が低下し、思考の多様性が制限されるため、創造性と革新性が阻害され、部分的または不完全な分析が行われる可能性がある。AIへの過度の依存は、従業員が生成的AIシステムに割り当てられたタスクを完了するために必要なスキルを構築し、維持する能力を阻害する可能性がある。これは、政府のAIへの依存を強化し、潜在的に労働力の能力を低下させる可能性がある。
Best practices for all users of generative AI in federal institutions 連邦機関において生成的AIを利用するすべてのユーザーのためのベストプラクティス
・Consider whether you need to use generative AI to meet user and organizational needs. ・ユーザーと組織のニーズを満たすために生成的AIを使用する必要があるかどうかを検討する。
・Consider the abilities and limits of generative AI when assigning tasks and reviewing system outputs. ・タスクの割り当てやシステム出力のレビュー時に、生成的AIの能力と限界を考慮する。
・Build your AI literacy so that you can critically assess these tools and their outputs. ・AIツールやそのアウトプットを批判的に評価できるAIリテラシーを身につける。
・Use generative AI tools as aids, not as substitutes. Do not outsource a skill that you do not understand or possess. ・生成的AIツールを代用ではなく、補助として使用する。自分が理解していない、あるいは持っていないスキルを外注してはならない。
・Form your own views before you seek ideas or recommendations from AI tools. ・AIツールにアイデアや推奨を求める前に、自分自身の意見を形成する。
・Learn how to write prompts that are likely to result in content that provides a holistic perspective and minimizes biases. ・全体的な視点を提供し、バイアスを最小限に抑えたコンテンツになりやすいプロンプトの書き方を学ぶ。
・Always review content generated by AI, even if the system seems to be reliable in providing accurate responses. ・AIが生成したコンテンツは、たとえそのシステムが正確な回答を提供する信頼できるものであったとしても、常に見直す。
Legal risks 法的リスク
Issue: generative AI poses risks to human rights, privacy, intellectual property protection, and procedural fairness 問題:生成的AIは人権、プライバシー、知的財産保護、手続きの公平性にリスクをもたらす。
The government’s use of generative AI systems poses risks to the legal rights and obligations of federal institutions and their clients. These risks arise from the data used to train AI models, the way systems process input data, and the quality of system outputs. 政府による生成的AIシステムの利用は、連邦機関とそのクライアントの法的権利と義務にリスクをもたらす。これらのリスクは、AIモデルの訓練に使用されるデータ、システムが入力データを処理する方法、およびシステム出力の質から生じる。
The use by suppliers or federal institutions of copyright-protected materials like articles, books, code, paintings or music to train AI models may infringe intellectual property rights. The use or reproduction of the outputs generated by these models could also infringe on such rights if they contain material that is identical or substantially similar to a copyright-protected work. Further, the ownership of content created by or with the help of generative AI is uncertain. Privacy rights could also be at risk because data used to train generative AI models could include unlawfully collected or used personal information, including personal information obtained from publicly accessible online sources. AIモデルを学習させるために、論文、書籍、コード、絵画、音楽といった著作権で保護された素材をサプライヤーや連邦機関が使用することは、知的財産権を侵害する可能性がある。また、これらのモデルによって生成されたアウトプットの使用や複製も、著作権で保護された作品と同一または実質的に類似した素材を含む場合、そのような権利を侵害する可能性がある。さらに、生成的AIによって、あるいは生成的AIの助けを借りて作成されたコンテンツの所有権は不確実である。生成的AIモデルの学習に使用されるデータには、一般にアクセス可能なオンライン・ソースから取得された個人情報を含め、違法に収集または使用された個人情報が含まれる可能性があるため、プライバシーの権利もリスクにさらされる可能性がある。
Risks could also arise from the opacity of generative AI models and their potential for producing inaccurate, biased or inconsistent outputs. This opacity makes it difficult to trace and understand how the AI system produces outputs, which can undermine procedural fairness in instances where a federal institution is obliged to provide clients with reasons for administrative decisions, such as decisions to deny benefits. The quality of AI outputs can also impact individuals’ legal rights. For example, biased outputs could lead to discrimination in services, potentially violating human rights. 生成的AIモデルの不透明性や、不正確、バイアス、一貫性のない出力を生成する可能性からもリスクが生じる可能性がある。このような不透明性は、AIシステムがどのようにアウトプットを生成したかを追跡・理解することを困難にし、連邦機関が給付拒否の決定など行政決定の理由を顧客に提供する義務を負う場合、手続き上の公平性を損なう可能性がある。AIのアウトプットの質は、個人の法的権利にも影響を与える可能性がある。例えば、バイアスのかかったアウトプットは、サービスにおける差別につながり、人権を侵害する可能性がある。
These risks extend beyond decision-making scenarios. When federal institutions use generative AI tools to help the public find information (as is the case, for example, with the use of chatbots on departmental websites) or to produce public communications, there’s a risk that these tools will generate inappropriate content or misinformation that could contribute to or cause harm for which the government could be liable. こうしたリスクは、意思決定シナリオ以外にも及ぶ。連邦政府機構が生成的AIツールを使って一般市民が情報を見つけやすくしたり(例えば、省庁のウェブサイトでのチャットボットの利用がそうであるように)、パブリック・コミュニケーションを作成したりする場合、これらのツールが不適切なコンテンツや誤情報を生成し、政府が責任を負う可能性のある危害に加担したり、危害を引き起こしたりするリスクがある。
Best practices for all users of generative AI in federal institutions 連邦機関において生成的AIを利用するすべてのユーザーにとってのベストプラクティス
・Consult your institution’s legal services about the legal risks of deploying generative AI tools or using them in service delivery. The consultation could involve a review of the supplier’s terms of use, copyright policy, privacy policy and other legal documents. ・生成的AIツールの導入やサービス提供における使用の法的リスクについて、機関の法務サービスに相談する。相談には、サプライヤーの利用規約、著作権ポリシー、プライバシーポリシー、その他の法的文書のレビューが含まれる。
・Comply with the Directive on Automated Decision-Making when using generative AI in administrative decision-making. ・行政上の意思決定において生成的AIを使用する場合、自動意思決定に関する指令を遵守する。
・Check whether system outputs are identical or substantially similar to copyright-protected material. Give proper attribution, where appropriate, or remove this material to minimize the risk of infringement of intellectual property rights. ・システムの出力が著作権で保護された素材と同一または実質的に類似していないか確認する。知的財産権侵害のリスクを最小化するため、適切な場合は適切な帰属表示を行うか、この素材を削除する。
・Consult designated officials on the licensing and administration of Crown copyright if you are planning to include outputs in public communications, in accordance with the Procedures for Publishing. ・公的なコミュニケーションに出力を含める予定がある場合は、「出版に関する手続き」に従い、国庫著作権の使用許諾および管理について指定職員に相談する。
・Evaluate the quality of outputs for factual inaccuracies, biases or harmful ideas that may conflict with GC values. ・成果物が事実に反していないか、バイアスがかかっていないか、あるいはGCの価値観と相反するような有害な思想が含まれていないか、成果物の質を評価する。
・Keep up-to-date on legal and policy developments related to AI regulation. ・AI規制に関連する法的・政策的動向を常に把握する。
Additional best practices for federal institutions deploying a generative AI tool 連邦機関が生成的AIツールを導入する際のその他のベストプラクティス
・Verify the legality of the method used to obtain data for training AI models and make sure you have permission to use the data for this purpose. Where feasible, train your model using open-source data that has no restrictions on such use. ・AIモデルを訓練するためのデータを取得するために使用される方法の合法性を検証し、この目的のためにデータを使用する許可を得ていることを確認する。可能であれば、そのような使用に制限のないオープンソースのデータを使用してモデルを訓練する。
・Be transparent about your use of generative AI, including by notifying users if they are interacting with a system rather than a human. Where relevant, include a disclaimer to minimize liability risks. ・生成的AIの使用について透明性を確保する。関連する場合は、責任リスクを最小化するために免責事項を含める。
・Use watermarks to help users identify generated content. ・ユーザーが生成されたコンテンツを識別しやすくするために、透かしを使用する。
Distinguishing humans from machines 人間と機械を区別する
Issue: people may not know that they are interacting with an AI system, or they may wrongly assume that AI is being used 課題:人々はAIシステムとインタラクションしていることを知らないかもしれないし、AIが使われていると誤解するかもしれない。
Conversational agents or chatbots that use generative AI can produce responses that are so human-like that it may be difficult to distinguish them from those of a real person. Footnote24 As a result, clients may be misled into believing that they are interacting with a human. Similarly, clients might assume that an email they have received was written by a person when it was actually generated by an AI tool. On the other hand, clients might think they are interacting with an AI tool when they are actually dealing with a real person. Transparency about whether a client is interacting with a person or a chatbot is essential to ensure that the client is not misled and to maintain trust in government. 生成的AIを使用する会話エージェントやチャットボットは、人間のような応答を生成することができるため、実際の人間の応答と区別することが難しい場合がある。脚注24 その結果、顧客は人間とやりとりしていると誤解する可能性がある。同様に、受け取ったEメールが実際にはAIツールによって生成されたにもかかわらず、人が書いたものだと思い込んでしまう可能性もある。一方、顧客は、実際には生身の人間とやりとりしているにもかかわらず、AIツールとやりとりしていると思い込むかもしれない。クライアントが人とやりとりしているのかチャットボットとやりとりしているのかについての透明性は、クライアントが惑わされないようにし、政府に対する信頼を維持するために不可欠である。
Best practices for all users of generative AI in federal institutions 連邦政府機関における生成的AIの全ユーザーのためのベストプラクティス
・Clearly communicate when and how the GC is using AI in interactions with the public. ・国民とのコミュニケーションにおいて、いつ、どのようにAIを使用しているかを明確に伝える。
・Inform users when messages addressed to them are generated by AI. ・利用者宛てのメッセージがAIによって生成された場合、その旨を利用者に伝える。
Additional best practices for federal institutions deploying a generative AI tool 連邦機関が生成的AIツールを導入する際のその他のベストプラクティス
・Consider offering non-automated means of communicating with the GC. ・自動化されていないGCとのコミュニケーション手段を提供することを検討する。
・Use watermarks so that users can identify content generated by AI. ・生成的AIによって生成されたコンテンツを利用者が識別できるよう、透かしを使用する。
Publish information about the system, such as a plain-language description of how it works, the reasons for using it, and the quality assurance steps taken. AIの仕組み、使用理由、品質保証の手順などをわかりやすく説明し、システムに関する情報を公開する。
Environmental impacts 環境への影響
Issue: the development and use of generative AI systems can have significant environmental costs 課題:生成的AIシステムの開発と使用は、大きな環境コストをもたらす可能性がある。
The development and use of generative AI systems can be a significant source of greenhouse gas emissions. These emissions come not only from the compute used to train and operate generative models but also from the production and transportation of the servers that support the AI programs. Footnote25 While generative AI has the potential to help combat climate change, its use must be balanced against the need for swift and drastic action to reduce global greenhouse gas emissions and avert irreversible damage to the environment. Footnote26 生成的AIシステムの開発と使用は、温室効果ガスの重大な排出源となりうる。これらの排出は、生成的モデルの訓練と運用に使用される計算だけでなく、AIプログラムをサポートするサーバーの製造と輸送からも生じる。脚注25:生成的AIは気候変動対策に役立つ可能性を秘めているが、その使用は、世界的な温室効果ガスの排出を削減し、環境への不可逆的なダメージを回避するための迅速かつ抜本的な行動の必要性とのバランスを取る必要がある。脚注26
Best practices for all users of generative AI in federal institutions 連邦機関において生成的AIを利用するすべてのユーザーにとってのベストプラクティス
・Use generative AI tools hosted in zero-emission data centres. ・ゼロエミッションのデータセンターでホストされる生成的AIツールを使用する。
・Use generative AI tools only when relevant to program objectives and desired outcomes. ・生成的AIツールは、プログラムの目的と望ましい成果に関連する場合にのみ使用する。
Additional best practices for federal institutions deploying a generative AI tool 生成的AIツールを導入する連邦機関のためのその他のベストプラクティス
・Consider whether your AI supplier has set any greenhouse-gas reduction targets. Footnote27 ・AIサプライヤーが温室効果ガス削減目標を設定しているかどうかを検討する。脚注27
・Complete an environmental impact assessment as part of the proposal to develop or procure generative AI tools. Make sure any decision to procure these tools is made in accordance with the Policy on Green Procurement. ・生成的AIツールの開発または調達の提案の一部として、環境影響評価を完了する。これらのツールの調達決定が、グリーン調達に関する方針に従って行われることを確認する。
Use of this guide and additional support available 本ガイドラインの使用と利用可能な追加サポート
As departments further evolve their guidance on use of generative AI, this document is to be used as overarching guidance to build from. For more information, including guidance on specific uses of generative AI, contact the TBS Responsible Data and AI team (ai-ia@tbs-sct.gc.ca). Additional resources exist within the federal government which institutions can access by contacting the Communications Security Establishment (including  Canadian Centre for Cyber Security’s guidance on generative AI) and Statistics Canada. The community of practice and the TBS guide will continue to evolve over the next number of years. 各省庁が生成的AIの使用に関するガイダンスをさらに発展させる際、本書は包括的なガイダンスとして使用される。生成的AIの具体的な使用方法に関するガイダンスを含む詳細については、TBSのResponsible Data and AIチーム(ai-ia@tbs-sct.gc.ca)に問い合わせること。連邦政府内にもリソースがあり、機構はコミュニケーション・セキュリティ・エスタブリッシュメント(Canadian Centre for Cyber Securityの生成的AIに関するガイダンスを含む)やカナダ統計局に問い合わせることでアクセスできる。実践コミュニティとTBSガイドは、今後数年にわたって進化し続けるだろう。
Frequently asked questions よくある質問
Can I use generative AI to draft emails or briefing notes? 生成的AIを電子メールやブリーフィング・ノートのドラフトに使用できるか?
Yes. Depending on the context, you can use a generative AI tool to support drafting of emails or briefing notes that don’t contain personal or sensitive information. The person generating the content is responsible for making sure that:    はい。文脈にもよるが、生成的AIツールを使って、個人情報や機密情報を含まない電子メールやブリーフィング・ノートのドラフトをサポートすることができる。コンテンツを生成する人は、以下のことを確認する責任がある:   
・input data does not include protected, classified or other sensitive information ・入力データに保護、機密、その他の機密情報が含まれていないこと。
・generated content is accurate, non-partisan, unbiased, and doesn’t violate intellectual property laws ・作成されたコンテンツが正確で、超党派で、偏りがなく、知的財産法に違反していないこと。
・management is notified that a generative tool was used in the development of the product ・製品の開発にジェネレーティブ・ツールが使用されたことが経営陣に通知される。
Can I use generative AI to develop content for public communications (for example, web posts, social media)? 生成的AIをパブリックコミュニケーション(例えば、ウェブ投稿、ソーシャルメディア)のコンテンツ開発に使用できるか?
Use caution. When you generate content, you are responsible for making sure it is accurate, clear, non-partisan and unbiased. You are also responsible for making sure permissions to reproduce, adapt, translate or publish third-party material have been secured and that the content does not violate intellectual property laws. You should also inform the public of any significant use of generative AI in the production of content. It is also critical to ensure that outputs are trusted given the potential reach and impact of public communications. 注意してほしい。コンテンツを作成する際には、それが正確で、明確で、超党派で、偏りのないものであることを確認する責任がある。また、サードパーティーの素材を複製、翻案、翻訳、出版する許可を確保し、コンテンツが知的財産権法に違反していないことを確認する責任がある。また、コンテンツの制作において生成的AIを大幅に使用した場合は、その旨を一般に知らせるべきである。また、パブリックコミュニケーションの潜在的な範囲と影響力を考えると、アウトプットが信頼されるようにすることも重要である。
Can I use generative AI for programming tasks? 生成的AIをプログラミング作業に使うことはできるか?
Yes, but you must consider the security classification of the code. Also, when it comes to code generation, some generative AI tools can produce content that violates the open-source licences of the source code they were trained on. To address this issue, use available tools to identify potential matches in public code repositories or limit the use of generative AI to tasks like debugging or code explanation. 可能だが、コードのセキュリティ分類を考慮する必要がある。また、コード生成に関しては、生成的AIツールの中には、学習させたソースコードのオープンソースライセンスに違反するコンテンツを生成するものもある。この問題に対処するには、利用可能なツールを使って公開コード・リポジトリにある潜在的なマッチを特定するか、生成的AIの使用をデバッグやコード説明のようなタスクに限定する。
Can I use generative AI to inform policy? 生成的AIを政策に役立てることはできるか?
Yes, but you must be mindful of the strengths and limits of generative AI tools and tailor the tasks you assign to them accordingly. You can use these tools to assist with research during policy development, but don’t use them to recommend, make or interpret policy. はい。しかし、生成的AIツールの長所と限界に留意し、それに応じて割り当てるタスクを調整する必要がある。政策立案中の調査を支援するためにこれらのツールを使うことはできるが、政策を推奨したり、決定したり、解釈したりするために使ってはならない。
When deciding on policy positions, make your own value judgments, in consultation with the relevant stakeholders and consistent with applicable laws. Strive to be transparent and vigilant about any significant use of generative AI during the policy process, including in research and stakeholder engagement. The prompts used in such contexts should not include any information that would pose legal or reputational risks to the government. 政策の立場を決定する際には、関連する利害関係者と協議の上、適用法に沿った独自の価値判断を行う。調査や利害関係者とのエンゲージメントを含め、政策プロセスにおいて生成的AIを有意に使用する場合は、透明性を保ち、警戒するよう努める。このような文脈で使用されるプロンプトには、政府に法的リスクや風評リスクをもたらすような情報を含めてはならない。
Can I use generative AI to automate assessments, recommendations or decisions about clients? 生成的AIを使って、顧客に関する評価、推奨、決定を自動化することは可能か?
Use caution when considering whether to use generative AI in administrative decision-making. Carefully consider how you will comply with the Directive on Automated Decision-Making, which seeks to ensure transparency, accountability and fairness in decisions made or informed by automated systems such as those that use generative AI. For example, make sure that you understand how the tool produces its outputs and that you can find the data it relied on. You should assess outputs for factual accuracy and undue bias toward clients. You should also consider potential variation in outputs produced in response to similar prompts, which could lead to inequalities in the treatment of clients. 行政上の意思決定において生成的AIを使用するかどうかを検討する際には、注意が必要である。生成的AIを使用するような自動化されたシステムによってなされ、あるいは通知される意思決定において、透明性、説明責任、公平性を確保しようとする「自動化された意思決定に関する指令(Directive on Automated Decision-Making)」をどのように遵守するかを慎重に検討すること。例えば、ツールがどのようにアウトプットを生成するかを理解し、そのツールが依拠したデータを見つけることができることを確認する。アウトプットが事実に基づいて正確かどうか、また顧客に対する過度のバイアスがないかどうかを評価する必要がある。また、同じようなプロンプトに対して出力されるアウトプットにばらつきがある可能性も考慮すべきである。

 

Bibliography  
Footnote 1 McKinsey & Company, "What is Generative AI?," 19 January 2023. [Accessed 8 May 2023].
Footnote 2 F. Candelon, A. Gupta, L. Krayer and L. Zhukov, "The CEO’s Guide to the Generative AI Revolution," 7 March 2023. [Accessed 11 May 2023].
Footnote 3 K. Martineau, "What Is Generative AI?," 20 April 2023 [Accessed 8 May 2023].
Footnote 4 OpenAI, "Documentation - Models Overview," [Accessed 8 May 2023].
Footnote 5 OpenAI, "What is ChatGPT?," [Accessed 8 May 2023].
Footnote 6 J. Kocoń, I. Cichecki, O. Kaszyca, M. Kochanek, D. Szydło, J. Baran, J. Bielaniewicz, M. Gruza, A. Janz, K. Kanclerz, A. Kocoń, B. Koptyra, W. Mieleszczenko-Kowszewicz, P. Miłkowski, M. Oleksy, M. Piasecki, Ł. Radliński, K. Wojtasik, S. Woźniak and P. Kazienko, "ChatGPT: Jack of All Trades, Master of None," SSRN preprint, pp. 1-40, 28 February 2023.
Footnote 7 K. Yang, S. Ji, T. Zhang, Q. Xie and S. Ananiadou, "On the Evaluations of ChatGPT and Emotion-enhanced Prompting for Mental Health Analysis," arXiv preprint, 2023.
Footnote 8 Council of the European Union, "ChatGPT in the Public Sector - Overhyped or Overlooked?," European Union, 2023.
Footnote 9 OpenAI, "OpenAI Usage Policies," OpenAI, 2023 [Accessed 12 May 2023].
Footnote 10 Google, "Google Generative AI Prohibited Use Policy," Google, 2023 [Accessed 12 May 2023].
Footnote 11 OpenAI, "March 20 ChatGPT Outage: Here’s What Happened," 24 March 2023 [Accessed 10 May 2023].
Footnote 12 E. M. Bender, T. Gebru, A. McMillan-Major and S. Shmitchell, "On the Dangers of Stochastic Parrots: Can Language Models Be Too Big? 🦜," FAccT '21: Proceedings of the 2021 ACM Conference on Fairness, Accountability, and Transparency, pp. 610-623, 2021.
Footnote 13 A. S. Luccioni, C. Akiki, M. Mitchell and Y. Jernite, "Stable Bias: Analyzing Societal Representations in Diffusion Models," arXiv preprint, pp. 1-44, 2023.
Footnote 14 W. Guo and A. Caliskan, "Detecting Emergent Intersectional Biases: Contextualized Word Embeddings Contain a Distribution of Human-like Biases," AIES '21: Proceedings of the 2021 AAAI/ACM Conference on AI, Ethics, and Society, pp. 122-133, July 2021.
Footnote 15 OpenAI, "DALL·E 2 Pre-training Mitigations," 28 June 2022 [Accessed 4 May 2023].
Footnote 16 University of Waterloo Library, "ChatGPT and Generative Artificial Intelligence (AI): Potential for Bias Based on Prompt," 27 April 2023 [Accessed 5 May 2023].
Footnote 17 C. Bjork, "ChatGPT Threatens Language Diversity. More Needs to Be Done to Protect Our Differences in the Age of AI," 9 February 2023 [Accessed 5 May 2023].
Footnote 18 Z. Ji, N. Lee, R. Frieske, T. Yu, D. Su, Y. Xu, E. Ishii, Y. Bang, W. Dai, A. Madotto and P. Fung, "Survey of Hallucination in Natural Language Generation," arXiv preprint, pp. 1-47, 7 November 2022.
Footnote 19 OpenAI, "Introducing ChatGPT," 22 November 2022 [Accessed 1 May 2023].
Footnote 20 H. Alkaissi and S. I. McFarlane, "Artificial Hallucinations in ChatGPT: Implications in Scientific Writing," Cureus, vol. 15, no. 2, p. e35179, 2023.
Footnote 21 S. Passi and M. Vorvoreanu, "Overreliance on AI: Literature review," June 2022. [Accessed 3 May 2023].
Footnote 22 Z. Buçinca, M. B. Malaya and K. Z. Gajos, "To Trust or to Think: Cognitive Forcing Functions Can Reduce Overreliance on AI in AI-assisted Decision-making," Proceedings of the ACM on Human-Computer Interaction, vol. 5, no. CSCW1, pp. 1-21, April 2021.
Footnote 23 M. Grawitch, "Confirmation Bias in the Era of Large AI," 1 May 2023 [Accessed 11 May 2023].
Footnote 24 A. James, "ChatGPT Has Passed the Turing Test and if You're Freaked Out, You're Not Alone," 29 March 2023 [Accessed 4 May 2023].
Footnote 25 S. McLean, "The Environmental Impact of ChatGPT: A Call for Sustainable Practices In AI Development," 28 April 2023 [Accessed 4 May 2023].
Footnote 26 IPCC, "Summary for Policymakers. In: Global Warming of 1.5°C. An IPCC Special Report on the Impacts of Global Warming of 1.5°C above pre-industrial levels and related global greenhouse gas emission pathways, in the context of strengthening the global response to the threat of climate change, sustainable development, and efforts to eradicate poverty," Cambridge University Press, Cambridge, UK; New York, NY, USA, 2018.
Footnote 27 United Nations Climate Change, "Race To Zero Campaign," [Accessed 5 May 2023].

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.16 カナダ サイバーセキュリティセンター 生成的人工知能(AI) - ITSAP.00.041

・2022.08.22 カナダ サイバーセキュリティセンター 人工知能 - ITSAP.00.040

 

| | Comments (0)

2023.09.13

OECD 生成的人工知能(AI)に関するG7広島プロセス (2023.09.07)

こんにちは、丸山満彦です。

OECDが「生成的人工知能(AI)に関するG7広島プロセス - 生成的AIに関するG7の共通理解に向けて」という報告書を公表していますね。。。

 

2023年5月、G7首脳は広島人工知能(AI)プロセスで議論すべきトピックを特定し、生成的AIに関連する機会と課題の早期棚卸しを求めたのに答えのがこの報告書のようです。

  • 生成的AIに関する共通の政策優先事項に関するG7の議論を導く一助とするために作成されたG7メンバーへのアンケート結果の紹介
  • 生成的AIの時系列的・各国間の発展の概観

というのが内容のようです。。。

 

OECD

・2023.09.07 G7 Hiroshima Process on Generative Artificial Intelligence (AI) - Towards a G7 Common Understanding on Generative AI

・[PDF]

20230913-60428

・[DOCX] 仮訳

 

EXECUTIVE SUMMARY  要旨 
Generative AI has rapidly entered public discourse.  生成的AIは急速に世論に浸透してきた。 
Generative AI has entered into public consciousness and is increasingly present in peoples’ everyday conversations worldwide. The number of news articles and tweets related to ‘generative AI’ grew eight-fold over just six months.  生成的AIが一般市民の意識に浸透し、世界中で人々の日常会話に登場する機会が増えている。生成的AI」に関連するニュース記事やツイートの数は、わずか6カ月間で8倍に増加した。 
Growth in generative AI research, including its open-source code development, preceded the surge in investments.  オープンソースのコード開発を含む生成的AI研究の成長は、投資の急増に先行していた。 
The widespread awareness and rapid uptake of generative AI have been enabled by steady, incremental progress in both research and code development. Fundamental innovations such as the ‘Transformers’ architectures, contributions of the open-source community, alongside improvement in computing power have paved the way for the proliferation of large language models as well as other type of generative AI models. Scientific publications and open-source code development on generative AI have grown remarkably since 2017, and this trend accelerated in 2023. Venture capital investments in generative AI have skyrocketed and were estimated at USD 12 billion globally in the first half of 2023 alone. Scientific publications and software, including open-source code, related to generative AI have seen a parallel remarkable surge since 2017, with this trend further accelerating in 2023.   生成的AIが広く認知され、急速に普及したのは、研究とコード開発の両方における着実かつ漸進的な進歩があったからである。Transformers」アーキテクチャ、オープンソースコミュニティの貢献、コンピューティングパワーの向上といった基本的な革新は、大規模な言語モデルや他のタイプの生成的AIモデルの普及に道を開いた。2017年以降、生成的AIに関する科学論文やオープンソースのコード開発は著しく伸びており、この傾向は2023年に加速した。生成的AIに対するベンチャーキャピタルの投資は急増しており、2023年上半期だけで世界全体で120億米ドルに上ると推定されている。生成的AIに関連するオープンソースコードを含む科学論文やソフトウェアも、2017年以降並行して著しい急成長を遂げており、この傾向は2023年にさらに加速する。  
Rapid advances in generative AI are driven by its expected potential to drive productivity gains and to promote innovation and entrepreneurship, as well as to unlock solutions to global challenges.  生成的AIの急速な進歩は、生産性の向上、イノベーションと起業家精神の促進、さらには世界的な課題の解決策を解き放つ可能性が期待されているからだ。 
In a questionnaire administered in Q3 2023, G7 members unanimously saw productivity gains, promoting innovation and entrepreneurship and unlocking solutions to global challenges, as some of the greatest opportunities of AI technologies worldwide, including for emerging and developing economies. G7 members also emphasised generative AI’s potential role to help address pressing societal challenges, such as improving healthcare and helping to solve the climate crisis, and to support progress towards achieving the Sustainable Development Goals (SDGs).   2023年第3四半期に実施されたアンケートでは、G7メンバーは、新興国や発展途上国を含む世界的なAI技術の最大の機会として、生産性の向上、イノベーションと起業家精神の促進、世界的な課題に対する解決策の解き放ちについて、全会一致で評価している。G7メンバーはまた、ヘルスケアの改善や気候危機の解決支援など、差し迫った社会的課題への対処を支援し、持続可能な開発目標(SDGs)の達成に向けた進展を支援する、生成的AIの潜在的な役割を強調した。  
Yet, generative AI’s potential benefits come with risks.   しかし、生成的AIの潜在的なメリットにはリスクも伴う。  
The capacity of generative AI to exacerbate the challenges of disinformation and manipulation of opinions is considered by G7 members as one of the major threats stemming from generative AI, alongside risks of intellectual property rights infringement and privacy breaches. Early efforts to track AI incidents found one thousand distinct incidents and hazards related to generative AI, based on roughly 5 600 news articles dated from January to July 2023.  情報操作や意見操作の課題を悪化させる生成的AIの能力は、知的財産権侵害やプライバシー侵害のリスクと並んで、生成的AIに起因する主要な脅威のひとつであるとG7メンバーは考えている。AIインシデントを追跡する初期の取り組みでは、2023年1月から7月までのおよそ5,600件のニュース記事に基づいて、生成的AIに関連する1,000件の明確なインシデントとハザードが発見された。 
As these risks evolve rapidly, their management and mitigation is at the top of the agenda for G7 governments.   こうしたリスクが急速に進化するなか、その管理と軽減がG7各国政府の最重要課題となっている。  
Responsible use of generative AI, addressing disinformation, safeguarding intellectual property rights, and governing generative AI are among the top priorities for G7 policymakers and require international cooperation with like-minded partners. Other urgent and important issues emphasised by G7 members include privacy and data governance, transparency, fairness and bias, human and fundamental rights, security and robustness of AI systems, and impacts on the functioning of democracy.   生成的AIの責任ある利用、偽情報への対処、知的財産権の保護、生成的AIの管理は、G7政策立案者にとって最優先事項のひとつであり、志を同じくするパートナーとの国際協力が必要である。G7メンバーによって強調されたその他の緊急かつ重要な課題には、プライバシーとデータガバナンス、透明性、公平性と偏見、人権と基本的権利、AIシステムのセキュリティと堅牢性、民主主義の機能への影響などが含まれる。  
G7 jurisdictions are evaluating their respective responses to generative AI, as well as the policy gaps.   G7の国・地域は、生成的AIへのそれぞれの対応と政策ギャップを評価している。  
Countries are leveraging existing and forthcoming legal and policy frameworks and developing guidelines or regulation to address risks related to generative AI. National initiatives are also being strengthened to seize its opportunities. New issues raised by generative AI appear to affect specific sectors in particular, such as education, media, and the workplace.   各国は、生成的AIに関連するリスクに対処するため、既存および今後の法的・政策的枠組みを活用し、ガイドラインや規制を策定している。また、生成的AIの機会をとらえるため、各国のイニシアチブも強化されつつある。生成的AIが提起する新たな問題は、教育、メディア、職場など、特に特定の分野に影響を及ぼすようだ。  
G7 members are aligned on the need to provide effective tools for safety, quality control, and capacity and trust building for generative AI.   G7メンバーは、生成的AIの安全性、品質管理、能力と信頼構築のための効果的なツールを提供する必要性で一致している。  
Safety, quality control, capacity and trust building for generative AI were seen as among the most urgent and important international action the G7 could undertake. Engaging in dialogue was also considered to be most urgent, and developing voluntary codes of conduct was identified as among the most important actions. 安全性、品質管理、生成的AIのための能力と信頼構築は、G7が実施できる最も緊急かつ重要な国際的行動のひとつであると考えられていた。また、対話に参加することが最も緊急であると考えられ、自主的な行動規範を策定することが最も重要な行動のひとつとされた。

 

 

| | Comments (0)

英国 NCSC ランサムウェア、恐喝、サイバー犯罪のエコシステムについての白書

こんにちは、丸山満彦です。

NCSCが、ランサムウェア等のサイバー犯罪エコシステムについての白書を公表していますね。。。

参考になります。。。

 

U.K. National Cyber Security Centre; NCSC

・2023.09.11 Ransomware, extortion and the cyber crime ecosystem

・[PDF

20240206-60939

 

Ransomware, extortion and the cyber crime ecosystem ランサムウェア、恐喝、サイバー犯罪のエコシステム
A white paper from the NCSC and the National Crime Agency (NCA). NCSCと国家犯罪対策庁(NCA)による白書。
CONTENTS 目次
1. Ministerial Foreword 1. 大臣まえがき
2. NCSC Foreword 2. NCSCまえがき
3. NCA Foreword 3. NCAまえがき
4. Introduction 4. 序文
5. The evolution of ransomware 5. ランサムウェアの進化
6. The cyber crime ecosystem 6. サイバー犯罪のエコシステム
7. Common initial access vectors 7. 一般的な初期アクセスベクター
8. Initial access brokers 8. 初期アクセスブローカー
9. Ransomware business models 9. ランサムウェアのビジネスモデル
10. Financial services 10. 金融サービス
11. Conclusion 11. 結論
12. Prevent and protect against ransomware 12. ランサムウェアの防止と保護
Ministerial Foreword 大臣まえがき
The UK is a high value target for cyber criminals. 英国はサイバー犯罪者にとって価値の高い標的である。
Our businesses and institutions are among the foremost in the world, meaning they have three things that hostile cyber actors crave – money, information and the potential to cause widespread disruption if things go wrong. つまり、敵対的なサイバー犯罪者が切望する3つのもの、すなわち、金銭、情報、そして万が一の際に広範な混乱を引き起こす可能性を秘めているのだ。
Attacks against our citizens are also evolving, both in terms of scale and harm. In the last year there were an estimated 745,000 computer misuse offences. Criminality like this helps facilitate economic crime, such as fraud, and interpersonal crimes, such as stalking and domestic abuse. 市民に対する攻撃もまた、その規模と被害の両面において進化している。昨年は推定745,000件のコンピュータ不正使用犯罪があった。このような犯罪は、詐欺などの経済犯罪や、ストーカー行為や家庭内虐待などの対人犯罪を助長する。
Thankfully, our cyber and law enforcement agencies are also amongst the best in the world. This report was written to give you an invaluable overview of the threats we all face. ありがたいことに、わが国のサイバー犯罪および法執行機関もまた、世界最高水準にある。本レポートは、我々が直面している脅威の貴重な概要をお伝えするために執筆された。
You will see that the threat picture has changed substantially since the publication of a previous report in 2017. It is easier than ever for those with malicious intent to cause huge disruption. The rollout of ransomware as a service means an advanced knowledge of computing is no longer needed to reap havoc; criminals are able to access software that will do much of the hard work for them. 2017年に発行された前回の報告書から、脅威の状況が大きく変化していることがおわかりいただけるだろう。悪意のある者が甚大な混乱を引き起こすことは、かつてないほど容易になっている。サービスとしてのランサムウェアの展開は、もはや大混乱を引き起こすのに高度なコンピューティングの知識は必要ないことを意味する。
This all means that it has never been more important to adopt good cyber hygiene. To get the most out of this paper, you should read it alongside the NCSC’s Cyber Essentials programme, a government backed certification scheme that helps organisations of all sizes guard against the most common cyber attacks. このことは、優れたサイバー衛生を採用することがかつてないほど重要であることを意味する。この論文を最大限に活用するためには、NCSCのCyber Essentialsプログラムと合わせて読む必要がある。これは政府が支援する認証制度で、あらゆる規模の組織が最も一般的なサイバー攻撃から身を守るのを助けるものである。
The onus, of course, is not just on you. I am ensuring our agencies collaborate with our international partners to target cyber criminals, put a stop to their practices and hold them accountable. もちろん、責任はあなただけにあるわけではない。私は、サイバー犯罪者を標的にし、その行為に歯止めをかけ、責任を負わせるために、私たちの機関が国際的なパートナーと協力することを保証している。
And they are making progress. そして彼らは前進している。
This year we enforced two comprehensive sanction packages against more than a dozen Russian-speaking cyber criminals who targeted institutions across the world, including the NHS during the height of the pandemic. 今年我々は、パンデミックの最盛期にNHSを含む世界中の機構を標的にしたロシア語を話すサイバー犯罪者10数名に対し、2つの包括的な制裁パッケージを実施した。
The National Crime Agency worked alongside the FBI and German law enforcement to shut down a ransomware service, known as HIVE, which over two years extorted more than $100 million in ransom payments. 国家犯罪対策庁は、FBIやドイツの法執行機関と協力し、HIVEとして知られるランサムウェア・サービスを停止させた。HIVEは2年間にわたり、1億ドル以上の身代金支払いを強要していた。
And we worked with 17 countries to take the Genesis Market (a go-to service which sold the personal data of millions of people to fraudsters) offline. また、17カ国と協力してジェネシス・マーケット(数百万人の個人データを詐欺師に販売していた御用達サービス)をオフラインにした。
I will continue to do everything in my power to protect our cyber infrastructure – but you too must play a role. I hope you find this report useful as you seek to better understand and protect yourself against the threat we face. 私は、サイバー・インフラを守るために全力を尽くすつもりだ。私たちが直面している脅威をよりよく理解し、身を守るために、この報告書が役に立つことを願っている。
The Rt Hon Tom Tugendhat, Minister of State (Minister for Security) トム・トゥーゲントハット国務大臣(安全保障担当大臣)
NCSC Foreword NCSCまえがき
When it comes to cyber security, a lot can change in six years. サイバーセキュリティに関しては、6年間で多くのことが変わる可能性がある。
In 2017, the National Cyber Security Centre (NCSC) published a detailed report examining the cyber crime business model. Since then, the growth in ransomware and extortion attacks has expanded dramatically, with cyber criminals adapting their business models to gain efficiencies and maximise profits. 2017年、全米サイバーセキュリティセンター(NCSC)はサイバー犯罪のビジネスモデルを検証する詳細な報告書を発表した。それ以来、ランサムウェアや恐喝攻撃の増加は劇的に拡大し、サイバー犯罪者は効率性を得て利益を最大化するためにビジネスモデルを適応させている。
This white paper, published by the NCSC and the National Crime Agency (NCA), examines how the tactics of organised criminal groups have evolved as ransomware and extortion attacks have grown in popularity. NCSCと国家犯罪対策庁(NCA)が発表したこのホワイトペーパーでは、ランサムウェアや恐喝攻撃の人気が高まるにつれ、組織的犯罪グループの手口がどのように進化してきたかを検証している。
Since IT systems are now ubiquitous, ransomware attacks can be truly devastating for victims and their customers, which is why it remains the most acute cyber threat for most UK businesses and organisations. Attacks can affect every aspect of an organisation’s operation, hitting finances, compromising customer data, disrupting operational delivery, eroding trust and damaging reputations. The impact will be felt in the short and long term, particularly when organisations are unprepared. Recovery is often lengthy and costly. ITシステムは今やどこにでも存在するため、ランサムウェア攻撃は被害者とその顧客にとって真に壊滅的な打撃を与える可能性があり、それゆえほとんどの英国企業や組織にとって最も深刻なサイバー脅威であり続けている。攻撃は組織運営のあらゆる側面に影響を及ぼし、財務に打撃を与え、顧客データを漏洩させ、業務提供を中断させ、信頼を損ない、評判を低下させる。その影響は、特に組織が何の準備もしていない場合に、短期的にも長期的にも及ぶ。復旧には多くの場合、時間とコストがかかる。
As we shall learn, there are a number of enabling services, platforms, distributors and affiliates that are key to conducting a ransomware attack, and it’s this wider cyber crime ‘ecosystem’ that is the focus of this paper, rather than the mechanics of ransomware itself. これから学ぶように、ランサムウェア攻撃を行う上で鍵となるサービス、プラットフォーム、頒布事業者、関連会社は数多く存在し、本稿で取り上げるのは、ランサムウェア自体の仕組みではなく、このような広範なサイバー犯罪の「エコシステム」である。
The good news is that the NCSC and the NCA are helping organisations of all sizes to take responsibility for their own cyber security and improve their resilience. The paper explains that implementing NCSC ransomware guidance will interrupt the majority of attacks, which is why we encourage system owners and technical staff to explore the NCSC’s ransomware pages. 朗報は、NCSCとNCAが、あらゆる規模の組織が自らのサイバーセキュリティに責任を持ち、レジリエンスを改善できるよう支援していることだ。この論文では、NCSCのランサムウェア・ガイダンスを実施することで、大半の攻撃を阻止することができると説明しており、システム所有者や技術スタッフにNCSCのランサムウェア・ページを調べるよう勧めている。
The deployment of ransomware attacks relies on a complex supply chain, so focussing on specific ransomware strains can be confusing at best, and unhelpful at worst. We hope that the publication of this white paper shines a light on the motivations of the threat actors further upstream, who are ultimately driving the monetisation of ransomware as a service, and other extortion attacks. ランサムウェア攻撃の展開は複雑なサプライチェーンに依存しているため、特定のランサムウェアの系統に焦点を当てることは、良く言えば混乱し、悪く言えば役に立たない。我々は、このホワイトペーパーの発行が、最終的にサービスとしてのランサムウェアやその他の恐喝攻撃の収益化を推進している、さらに上流の脅威行為者の動機に光を当てることを願っている。
Lindy Cameron, NCSC CEO NCSC CEO リンディ・キャメロン
NCA Foreword NCAまえがき
Ransomware continues to be the most significant, serious and organised cyber crime threat faced by the UK. ランサムウェアは、英国が直面する最も重要で深刻な組織的サイバー犯罪の脅威であり続けている。
The reach and scalability of ransomware techniques, combined with dynamic adaptation by criminals, means that these crimes continue to have a significant impact in the UK and elsewhere. Consequences include a significant impact upon victims, disruption of services to the public, and compromise of personal data (which can be exploited for further criminality such as fraud). ランサムウェアの手口は、犯罪者によるダイナミックな適応と相まって、そのリーチと拡張性が高いため、これらの犯罪は英国内外で大きな影響を与え続けている。被害者への多大な影響、一般市民へのサービスの中断、個人データの漏洩(詐欺などのさらなる犯罪に悪用される可能性がある)などがその結果である。
The ransomware threat tends to manifest most obviously around data and system functionality, but we should also pay attention to societal harms, such as the overall confidence in the integrity, reliability and safety of our networked economy. ランサムウェアの脅威は、データやシステムの機能に最も顕著に現れる傾向があるが、ネットワーク経済の完全性、信頼性、安全性に対する全体的な信頼といった社会的な被害にも注意を払う必要がある。
The ransomware threat has not stood still. To survive in a climate of heightened pressure from governments and law enforcement agencies, it has had to evolve and adapt. While individual groups have had to cease operation, as a whole the criminal industry is effective at amending its activities and business models dynamically to efficiently extract funds from victims. ランサムウェアの脅威は止まってはいない。政府や法執行機関からの圧力が高まる中で生き残るためには、進化し適応しなければならない。個々のグループは活動を停止せざるを得なかったが、犯罪業界全体としては、被害者から効率的に資金を抽出するために、その活動やビジネスモデルをダイナミックに変更することに効果的である。
Specialisation within the ecosystem, particularly ‘Ransomware as a Service’ and the proliferation of easily-used tools, online marketplaces and forums, has lowered barriers to entry. The NCA’s National Strategic Assessment 2023, notes that “Russian-language criminals operating ransomware as a service continue to be responsible for most high profile cyber crime attacks against the UK. Some of these high profile Russian-language groups are known to have links with the Russian state. However, it is highly likely that in most instances these links extend only to tolerance of their activities.” エコシステム内の専門化、特に「サービスとしてのランサムウェア」や、簡単に使えるツール、オンラインマーケットプレイス、フォーラムの普及が、参入障壁を低くしている。NCAの国家戦略アセスメント2023は、「サービスとしてのランサムウェアを操作するロシア語犯罪者は、英国に対する注目度の高いサイバー犯罪攻撃のほとんどを引き続き担っている」と指摘している。これらの著名なロシア語グループの中には、ロシア国家とつながりがあることが知られているものもある。しかし、ほとんどの場合、こうしたつながりは彼らの活動の許容範囲にしか及んでいない可能性が高い」。
‘Whole of system’ response システム全体」での対応
Ransomware is fundamentally about criminal monetisation of cyber vulnerabilities. The most effective systemic response is preventing future attacks by investing in increased resilience and better protected systems. Companies and public sector bodies can justify these investments partly by observing the cost of ineffective cyber security. Complementing this key aspect of preventative work, the NCA also runs Cyber Choices campaigns to help people in the UK avoid being drawn into cyber crime. ランサムウェアは基本的に、サイバー脆弱性を犯罪的に収益化するものである。最も効果的なシステム的対応は、レジリエンスを高め、より保護されたシステムに投資することで、将来の攻撃を防ぐことである。企業や公共団体は、効果のないサイバーセキュリティのコストを観察することで、こうした投資を部分的に正当化することができる。この重要な予防活動を補完するために、NCAは、英国の人々がサイバー犯罪に巻き込まれないようにするための「サイバー・チョイス」キャンペーンも実施している。
The factors set out above mean an investigative response to an individual ransomware attack will rarely be productive in itself. Instead our disruption strategy, complementing efforts to build resilience, is based on understanding and undermining the increasingly sophisticated criminal ecosystem behind these threats especially focusing on common enablers and vulnerabilities. This is an integral part of the NCA’s broader shift of ‘focus upstream, overseas and online’, degrading the most harmful organised criminal groups (OGCs) by targeting those at the top of the chain, tackling the threat at source, and combating their use of technology. 以上のことから、個々のランサムウェア攻撃に対する捜査対応自体が生産的であることはほとんどない。その代わりに、レジリエンスを構築する努力を補完する我々の破壊戦略は、これらの脅威の背後にあるますます洗練された犯罪エコシステムを理解し、弱体化させることに基づいており、特に共通のイネイブラーと脆弱性に焦点を当てている。これは、「上流、海外、オンラインに焦点を当てる」というNCAのより広範なシフトの不可欠な部分であり、連鎖の頂点にいる者たちを標的とし、脅威の根源に取り組み、テクノロジーの使用に対抗することによって、最も有害な組織的犯罪集団(OGC)を衰退させるものである。
Traditional criminal justice outcomes are hard to achieve against actors based in uncooperative jurisdictions. This puts a premium on a wider range of disruptive approaches including international cooperation to pursue criminals as and when opportunity arises. Advances in cryptocurrency analysis and other techniques have enabled actions against a range of historic cybercrimes. And the UK announced its first cyber sanctions, in conjunction with US partners, against 7 Russian ransomware criminals associated with the Conti-Trickbot group in February 2023. 従来の刑事司法では、非協力的な司法管轄区に拠点を置く行為者に対しては、成果を上げることが難しい。そのため、機会があれば犯罪者を追及する国際協力を含む、より幅広い破壊的アプローチが重要視されている。暗号通貨分析やその他の技術の進歩により、様々な歴史的サイバー犯罪に対する対策が可能になった。英国は米国のパートナーとともに、2023年2月にConti-Trickbotグループに関連するロシアのランサムウェア犯罪者7名に対する初のサイバー制裁を発表した。
The online cyber criminal ecosystem set out in this paper enables the scale of threat and harms within the UK itself. The NCA’s National Cyber Crime Unit (NCCU) works with a wide range of partners in the UK and overseas to disrupt the key services that enable the cyber crime ecosystem; proactive, intelligence-led operational efforts, stressing the business model at multiple points with the overarching objective of achieving long-term strategic advantage. 本稿で示したオンライン・サイバー犯罪のエコシステムは、英国内での脅威と被害の規模を可能にしている。NCAの国家サイバー犯罪ユニット(NCCU)は、サイバー犯罪のエコシステムを可能にする主要なサービスを破壊するために、英国内外の幅広いパートナーと協力している。プロアクティブでインテリジェンス主導の作戦努力は、長期的な戦略的優位性を達成するという包括的な目的をもって、複数のポイントでビジネスモデルに重点を置いている。
The ransomware threat is borderless. An international response is needed to constrict the ecosystem that facilitates it. Our collective work with international partners includes private and public sector initiatives to make the UK’s online environment more safe and secure, and ultimately a harder target for ransomware actors. ランサムウェアの脅威は国境を越えている。ランサムウェアの脅威を助長するエコシステムを制限するためには、国際的な対応が必要である。国際的なパートナーとの共同作業には、英国のオンライン環境をより安全でセキュアなものにし、最終的にはランサムウェアの攻撃者にとってより狙われにくいものにするための、民間および公共部門の取り組みが含まれる。
James Babbage, NCA DG Threats ジェームズ・バベッジ、NCA脅威総局
Introduction 序文
Ransomware has been the biggest development in cyber crime since we published the NCSC’s 2017 report on online criminal activity. ランサムウェアは、オンライン犯罪活動に関するNCSCの2017年報告書を発表して以来、サイバー犯罪における最大の進展となっている。
Ransomware is a type of malware which prevents you from accessing your device and the data stored on it, usually by encrypting your files. A cyber criminal will then demand a ransom in exchange for decryption. The computer itself may become locked, or the data on it might be encrypted, stolen or deleted. The attackers may also threaten to leak the data they steal. ランサムウェアはマルウェアの一種であり、通常ファイルを暗号化することで、デバイスやそこに保存されているデータにアクセスできなくする。サイバー犯罪者はその後、復号化と引き換えに身代金を要求する。コンピューター自体がロックされたり、コンピューター上のデータが暗号化されたり、盗まれたり、削除されたりすることもある。攻撃者は、盗んだデータを漏らすと脅すこともある。
May 2021 saw a ransomware attack on the Health Service Executive of Ireland, causing issues such as lack of access to appointment data, in some cases leading to surgeons attempting to find patients for surgery when they had already been operated on. In the same month, the Colonial Pipeline in Texas was also held to ransom causing major disruption to gas supplies across the east coast of the US. In the UK, ransomware attacks affected the critical care services provided by local councils, and multiple organisations in the education sector were also affected. 2021年5月、アイルランドの医療サービス行政機関がランサムウェア攻撃を受け、予約データにアクセスできないなどの問題が発生し、場合によっては外科医が手術済みの患者を探そうとする事態に発展した。同月には、テキサス州のコロニアル・パイプラインも身代金を要求され、米国東海岸全域のガス供給に大きな支障をきたした。英国では、ランサムウェア攻撃により、地方議会が提供するクリティカル・ケア・サービスが影響を受け、教育セクターの複数の組織も被害を受けた。
As the ransomware threat has evolved, victims now have the worry of their sensitive data being exposed to the world, and with it face the risks of reputational damage. There will also be additional considerations of the impact of enforcement by a data protection authority (such as the Information Commissioner’s Office in the UK) for not sufficiently protecting customer data. ランサムウェアの脅威が進化するにつれて、被害者は機密データが世界中にさらされる心配を抱えるようになり、風評被害のリスクにも直面するようになった。また、顧客データの保護が十分でなかったとして、データ保護当局(英国の情報コミッショナー事務局など)が取締りを行った場合の影響も考慮しなければならない。
More recently, some groups conduct data theft and extortion only, without deploying ransomware. Accordingly, cyber criminals will now use whichever approach they believe most likely to yield payment, deploying ransomware attacks to disrupt logistics companies that need the data to function, but favouring extortion-only attacks against healthcare services (where patient privacy is paramount). 最近では、ランサムウェアを展開せずに、データ窃盗と恐喝のみを行うグループもある。そのため、サイバー犯罪者は、支払いにつながる可能性が最も高いと思われる方法を用いるようになり、データを必要とする物流会社を混乱させるためにランサムウェア攻撃を展開する一方で、(患者のプライバシーが最も重要な)医療サービスに対しては恐喝のみの攻撃を好むようになっている。
Some criminal groups purport to follow a ‘moral code’ and avoid attacks against critical national infrastructure (CNI) and healthcare services. However, the reality of complex modern supply chains means criminals cannot know if their attack will impact such services. 犯罪グループの中には、「道徳的規範」に従い、重要な国家インフラ(CNI)や医療サービスに対する攻撃を避けると称するものもある。しかし、複雑な現代のサプライチェーンの現実は、犯罪者が自分たちの攻撃がそのようなサービスに影響を与えるかどうかを知ることができないことを意味する。
The evolution of ransomware ランサムウェアの進化
While ransomware existed prior to 2017, it primarily focussed on encrypting single devices. In 2013, the GameOverZeus OCG had already put together the necessary success criteria for ransomware with CryptoLocker. It fused strong public key encryption with cryptocurrency payments, making it a viable business when other monetisation methods failed. ランサムウェアは2017年以前にも存在したが、主に単一のデバイスを暗号化することに焦点を当てていた。2013年、GameOverZeus OCGはすでにCryptoLockerでランサムウェアに必要な成功基準をまとめていた。強力な公開鍵暗号化と暗号通貨による支払いを融合させ、他のマネタイズ手法が失敗した際にビジネスとして成立するようにしたのだ。
Damaging a large organisation’s network (instead of a small organisation’s or single user’s) has become known as ‘big game hunting’. These targets often involve higher payment demands and so a larger return on investment. The removal of access to critical business systems and/or data is used to demand payment in exchange for the recovery keys. Under these pressures, it’s tempting for organisations to think that paying the ransom will ‘make the incident go away’, but as Eleanor Fairford, Deputy Director of Incident Management at the NCSC explained in a recent blog post, paying the ransom quickly doesn’t always help. 小規模な組織や単一のユーザーではなく)大規模な組織のネットワークに損害を与えることは、「大物狩り」として知られるようになった。このような標的は、多くの場合、より高額な支払いを要求するため、投資に対するリターンが大きくなる。復旧キーと引き換えに支払いを要求するために、重要なビジネス・システムやデータへのアクセスを遮断することが使われる。このような圧力の下で、組織は身代金を支払えば「インシデントがなくなる」と考えたくなるが、NCSCのインシデント管理担当副部長エレノア・フェアフォードが最近のブログ記事で説明したように、身代金を迅速に支払っても必ずしも解決するとは限らない。
Since 2018, businesses have been getting better at preparing for and responding to these attacks. At the same time, criminals have been refining their business model to maximise payouts. Combining data theft with extortion in big game hunting attacks increases the pressure on victims to pay, who will often be presented with short deadlines (a tactic often used in legitimate sales campaigns). 2018年以降、企業はこのような攻撃に対する準備と対応がより良くなってきている。同時に、犯罪者は支払いを最大化するためにビジネスモデルを洗練させてきた。データ窃盗と恐喝を組み合わせた大物狩り攻撃は、被害者への支払い圧力を高め、被害者は短い期限を提示されることが多い(合法的な販売キャンペーンでよく使われる手口だ)。
The WannaCry and NotPetya attacks combined encryption with the ability to self-propagate, leading to damages across a wide range of organisations. These attacks were both disruptive attacks posing as ransomware, in neither case was it possible to pay in exchange for decryption keys. However they highlighted the dramatic increase in impact when targeting critical infrastructure and large businesses. In 2018, the NCSC and the NCA observed this shift in criminal behaviour to conduct attacks against larger organisations, driven in part by the huge growth in the availability and legitimate trade of cryptocurrency. WannaCryとNotPetyaの攻撃は、暗号化と自己増殖能力を組み合わせたもので、幅広い組織に被害をもたらした。これらの攻撃はいずれもランサムウェアを装った破壊的な攻撃であり、いずれの場合も復号鍵と引き換えに金銭を支払うことはできなかった。しかし、これらの攻撃は、重要なインフラや大企業を標的にした場合、その影響が劇的に増大することを浮き彫りにした。2018年、NCSCとNCAは、暗号通貨の可用性と合法的な取引が大幅に増加したこともあり、より大規模な組織に対して犯罪行為を行うようにシフトしていることを観察した。
Cryptocurrency has made it easier, cheaper and faster to obtain payment and purchase criminal services than was previously possible with traditional currencies. The use of cryptocurrency also makes it harder to attribute individuals and control illicit payments, although this is in the process of changing to match traditional currencies. 暗号通貨は、従来の通貨で可能であったよりも、簡単、安価、迅速に支払いを受け、犯罪サービスを購入することを可能にした。暗号通貨の使用はまた、個人を特定し、不正な支払いを管理することを難しくしているが、これは従来の通貨と一致するように変化している途中である。
The cyber crime ecosystem サイバー犯罪のエコシステム
Most of the serious cyber attacks have traditionally been carried out by OCGs such as EvilCorp, which comprise highly organised criminals operating much like legitimate businesses with offices, salaries, holiday and sick pay, and other benefits. There’s also a number of smaller, less-organised criminal groups and criminal microservices traded on illicit forums and marketplaces, all supporting each other. 深刻なサイバー攻撃のほとんどは、従来、EvilCorpのようなOCGによって行われてきた。OCGは高度に組織化された犯罪者で構成され、オフィス、給与、休日手当、病気手当、その他の福利厚生など、合法的な企業とほぼ同様の運営を行っている。また、小規模で組織化されていない犯罪グループや、違法なフォーラムやマーケットプレイスで取引される犯罪マイクロサービスも数多く存在し、それぞれが互いに支援し合っている。
While cyber crime exists in most countries around the world, the major threat to the UK emanates from the Russian-speaking community that have benefited from the larger OCGs helping shape the forums where these services are traded. Like other criminal services, ransomware has been adapting to this marketplace to become more accessible and scalable through groups selling ransomware as a service (RaaS). The resulting increase in criminals adopting ransomware and extortion tactics means that smaller criminal groups, working together, can make a large impact. サイバー犯罪は世界中のほとんどの国に存在するが、英国にとっての大きな脅威は、これらのサービスが取引されるフォーラムを形成するのに役立っている大規模なOCGから利益を得ているロシア語を話すコミュニティから生じている。他の犯罪サービスと同様に、ランサムウェアもこの市場に適応し、サービスとしてのランサムウェア(RaaS)を販売するグループを通じて、よりアクセスしやすく、スケーラブルになっている。その結果、ランサムウェアや恐喝の手口を採用する犯罪者が増加し、小規模な犯罪グループが協力することで、大きな影響を与えることができるようになった。
Sanctions, indictments and rewards levied on the likes of EvilCorp (and the group behind Conti) has seen them draw on the wider ecosystem to distance themselves from the larger OCG branding. Figure 1 is an estimate of the number of UK victims from the top 10 ransomware variants over the last 3 years. It shows that over time, some of the previously dominant groups (such as Conti and Egregor) have disappeared while more brands of ‘as a service’ data leak sites (such as ALPHV, Lockbit and Hive) have become available. The numbers here can only be taken as an indication of the true volume, as any victims that paid the ransom will not appear on the leak sites (and some ransomware variants do not adopt data leak tactics). EvilCorp(およびContiの背後にいるグループ)などに課された制裁、起訴、報奨金は、彼らがより大きなOCGブランドから距離を置くために、より広範なエコシステムを利用することを見ている。図1は、過去3年間のランサムウェア上位10亜種による英国の被害者数の推定値である。時間の経過とともに、以前は支配的だったいくつかのグループ(ContiやEgregorなど)が姿を消す一方、「サービスとしての」データ漏えいサイト(ALPHV、Lockbit、Hiveなど)のブランドが増えていることがわかる。身代金を支払った被害者はリークサイトに表示されないため(また、ランサムウェアの亜種によってはデータリークの手口を採用しないものもある)、ここでの数字はあくまで真の量を示すものとしてのみ捉えることができる。
Figure_12x
FIGURE 1. DATA LEAK VICTIMS BY LEAK SITE BRAND. SOURCE: SECUREWORKS 図1. 漏えいサイトブランド別のデータ漏えい被害者 出典 SECUREWORKS
Despite the variety of criminal services available, there is a high level attack path for ransomware that can be broken into functions delivered by different malicious actors (Figure 2). The chronological flow of an attack is typically left to right, starting with an initial interaction with the victim on the left, and increasing in impact moving towards the right. In many cases, organisations are not aware that they have become a victim until the very end of this process. 多様な犯罪サービスが利用可能であるにもかかわらず、ランサムウェアには、悪意のあるアクターによって提供される機能に分割できる高レベルの攻撃経路が存在する(図2)。攻撃の時系列的な流れは、一般的に左から右へと進み、左側の被害者との最初のやり取りから始まり、右側に向かって影響が大きくなっていく。 多くの場合、組織はこのプロセスの最後の最後まで、被害者になったことに気づかない。
Overview2x
FIGURE 2. SIMPLIFIED RANSOMWARE WORKFLOW 図2. 単純化されたランサムウェアのワークフロー
It’s worth noting that: 注目すべき点は以下の通り:
・each function can be conducted by a different threat actor and sold to each other as a service ・各機能は異なる脅威行為者によって実行され、互いにサービスとして販売される可能性がある。
・malicious actors can execute more than one function themselves as fits their working methods, skills and capabilities ・悪意のある行為者は、自らの作業方法、スキル、能力に合わせて、複数の機能を自ら実行することができる。
・some of these functions are also optional, such as TDS (Traffic Distribution Systems), which is used in some malware delivery, but not others. ・TDS(トラフィック・ディストリビューション・システム)のように、マルウェアの配信に使用される機能と使用されない機能がある。
This attack path is supported by a wide range of services, including criminal forums for discussing and exchanging services, anonymisation tools and malicious ‘bulletproof’ hosting that claim to provide infrastructure services that are resilient to takedown from law enforcement. Each of these underpinning services are necessary for the ecosystem to function but are outside the scope of this document. この攻撃経路は、サービスに関する議論や交換を行う犯罪者フォーラム、匿名化ツール、法執行機関の摘発にレジリエンスなインフラサービスを提供すると主張する悪意のある「防弾」ホスティングなど、幅広いサービスによって支えられている。これらの基盤サービスは、エコシステムが機能するために必要であるが、本文書の範囲外である。
Common initial access vectors 一般的な初期アクセスベクトル
The left hand side of the diagram primarily deals with gathering initial accesses to targets, the trade of which constitutes much of the cyber crime ecosystem. Gathering these accesses can be done by dedicated access brokers, through online marketplaces, or by affiliates themselves. This flexibility makes it challenging for threat intelligence companies and defenders to understand which parts of the attack were conducted by which actor group. Attribution of a ransomware (or other cyber crime) incident to a single responsible actor is often impossible because of this business model. 図の左側は、主にターゲットへの初期アクセスを収集することを扱っており、その取引はサイバー犯罪のエコシステムの大部分を構成している。このようなアクセスの収集は、専用のアクセスブローカー、オンラインマーケットプレイス、または関連会社自身によって行われる。 このような柔軟性が、脅威インテリジェンス企業や防御側にとって、攻撃のどの部分がどの脅威行為者グループによって行われたかを理解することを困難にしている。ランサムウェア(またはその他のサイバー犯罪)のインシデントを単一の責任ある行為者に帰属させることは、このビジネスモデルのためにしばしば不可能である。
Distribution2x
FIGURE 3. COMMON INITIAL ACCESS VECTORS 図3. 一般的な初期アクセスベクター
It’s important to note that the majority of the initial accesses to victims are gained opportunistically and are not targeted against a particular organisation or business sector. Cyber criminals are primarily concerned with financial benefit and while occasionally a group will specifically target sectors they have had previous success with (such as Vice Society and the education sector), the majority do not. 被害者への初期アクセスの大半は、日和見的に獲得され、特定の組織や事業部門を標的としていないことに注意することが重要である。サイバー犯罪者は主に金銭的な利益に関心があり、時折、過去に成功を収めた部門(Vice Societyや教育部門など)を特にターゲットにするグループもあるが、大半はそうではない。
Headlines such as ‘company X targeted in a ransomware attack’ do not reflect the reality. Most criminals take the opportunities presented to them, either through buying accesses that they deem likely profitable, or by scanning for a vulnerability in a product likely used in enterprise networks. There is far less return on investment for criminals to specifically target a single organisation. This is particularly true as the conversion rate from victim to payment is quite low. The vast majority of ransomware incidents are a result of large scale access gathering that is filtered later to identify those most likely to be suitable for ransomware. X社がランサムウェア攻撃の標的に」といった見出しは、現実を反映していない。ほとんどの犯罪者は、収益性が高いと思われるアクセスを購入するか、エンタープライズ・ネットワークで使用されている可能性の高い製品の脆弱性をスキャンすることで、提示された機会を利用する。犯罪者が特定の組織をターゲットにした場合、投資に対するリターンははるかに少ない。特に、被害者から支払いへの転換率は極めて低いため、この傾向は顕著だ。ランサムウェアのインシデントの大部分は、ランサムウェアに最も適している可能性の高いものを特定するために後でフィルタリングされる大規模なアクセス収集の結果である。
Most ransomware incidents are not due to sophisticated attack techniques, but are usually the result of poor cyber hygiene. That’s not to say that victims did not take cyber security seriously; modern IT estates are exceptionally complex, particularly for organisations that have undergone acquisitions and mergers, and security controls can be difficult to implement effectively across complex environments. ランサムウェアのインシデントのほとんどは、高度な攻撃テクニックによるものではなく、サイバー衛生の不備によるものだ。被害者がサイバーセキュリティに真剣に取り組んでいなかったというわけではない。現代のIT施設は非常に複雑であり、特に買収や合併を経た組織では、複雑な環境全体でセキュリティ管理を効果的に実施することは難しい。
Poor cyber hygiene can include unpatched devices, poor password protection, or lack of multi-factor authentication (MFA). Remedying these are not silver bullets, but implementing such measures would interrupt the majority of ransomware attacks. MFA in particular is often not in place, which enables many ransomware attacks to be successful. サイバー衛生の不備には、パッチが適用されていないデバイス、不十分なパスワード保護、多要素認証(MFA)の欠如などがある。これらを改善することは特効薬ではないが、このような対策を実施すれば、ランサムウェア攻撃の大半を阻止できるだろう。特にMFAは多くの場合導入されていないため、多くのランサムウェア攻撃が成功している。
Direct exploitation 直接悪用
A common method for gathering initial accesses is to scan the internet for devices with known vulnerabilities. Some groups use commercial datasets for this such as Shodan, but many others conduct the scanning themselves, as it is not a difficult process to set up. Criminals look for devices that are likely to be in businesses (rather than home environments). Examples include Microsoft Exchange servers, platforms such as Citrix or VMware, VPN devices and firewall devices. 初期アクセスを収集する一般的な方法は、既知の脆弱性を持つデバイスをインターネットでスキャンすることだ。Shodanのような商用データセットを利用するグループもあるが、スキャンを自分たちで行うグループも多い。犯罪者は、(家庭環境ではなく)ビジネス環境にありそうなデバイスを探す。例えば、Microsoft Exchangeサーバー、CitrixやVMwareなどのプラットフォーム、VPNデバイス、ファイアウォールデバイスなどである。
Figure 4 covers global volumes of Microsoft Exchange servers that are vulnerable and where the patches have been available from Microsoft since 15th February 2023. The graph shows minimal change in overall availability of exploitable devices over the months after the patch became available. This trend indicates that despite patches being available, they are not being consistently applied, and there are still rich pickings for cyber criminals to use as an initial access. From June, the volume of unpatched devices is estimated to approximately 10% of the total available servers, which sounds good, but 10% accounts for around 700 unpatched devices predominantly in businesses which is still a large opportunity for criminals. 図4は、2023年2月15日以降、脆弱性が存在し、マイクロソフトからパッチが提供されているMicrosoft Exchangeサーバーの世界的な台数を示している。このグラフは、パッチが利用可能になってから数カ月間、悪用可能なデバイスの全体的な可用性にほとんど変化がないことを示している。この傾向は、パッチが利用可能であるにもかかわらず、パッチが一貫して適用されていないことを示しており、サイバー犯罪者が最初のアクセスとして利用するための豊富な収穫がまだあることを示している。6月以降、パッチが適用されていないデバイスの数は、利用可能なサーバー全体の約10%に上ると推定される。
Ms_exchange_servers
FIGURE 4. SHADOWSERVER TRACKING OF MICROSOFT EXCHANGE EXPOSURE (DASHBOARD · THE SHADOWSERVER FOUNDATION) 図 4. シャドウサーバーによるマイクロソフトエクスチェンジのエクスポージャーの追跡(ダッシュボード - シャドウサーバー財団)
Criminal use of exploits often surges shortly after certain critical patches are released indicating they are being reverse engineered from the patches. In most cases, an exploit is widely available in the criminal forums in less than one week from the patch being released. エクスプロイトの犯罪利用は、特定の重要なパッチがリリースされた直後に急増することが多いが、これは、エクスプロイトがパッチからリバースエンジニアリングされていることを示している。ほとんどの場合、パッチがリリースされてから1週間も経たないうちに、エクスプロイトは犯罪者フォーラムで広く利用されるようになる。
A zero-day exploit is a recently discovered vulnerability, not yet known to vendors or antivirus companies, that criminals can exploit. Cyber criminals don’t need to develop their own zero-day exploits as doing so is expensive, and there are many devices ‘in the wild’ that are not patched regularly. However, some actors have been known to use zero-day exploits, most notably there are public reports of Cl0p’s use of the Accellion, GoAnywhere and MOVEit vulnerabilities. This would account for the large spike in Cl0p victims in Figure 1 in 2023. Actors conducting ransomware will buy exploit code from other criminals, or modify exploit code from GitHub. ゼロデイ・エクスプロイトとは、最近発見された脆弱性のことで、ベンダーやウイルス対策企業にはまだ知られておらず、犯罪者が悪用できるものである。サイバー犯罪者は、ゼロデイ・エクスプロイトを独自に開発する必要がない。ゼロデイ・エクスプロイトを開発するにはコストがかかるし、定期的にパッチが適用されていない「野生の」デバイスが数多く存在するからだ。しかし、一部の行為者はゼロデイ脆弱性を利用することが知られており、特にCl0pがAccellion、GoAnywhere、MOVEitの脆弱性を利用したことが公に報告されている。これは、2023年に図1のCl0pの被害者が急増したことを説明するものである。ランサムウェアを行う行為者は、他の犯罪者からエクスプロイトコードを購入したり、GitHubからエクスプロイトコードを修正したりする。
Note: The NCSC strongly recommends creating a vulnerability management plan that prioritises vulnerabilities that are accessible from the internet. The list of exploits being used changes rapidly based on the availability of vulnerable systems and the introduction of new exploits to the market, so it is not enough to just patch those known to be currently in use. 注:NCSCは、インターネットからアクセス可能な脆弱性に優先順位をつけた脆弱性管理計画を策定することを強く推奨している。使用されている脆弱性のリストは、脆弱性のあるシステムの利用可能性や新しい脆弱性の市場への序文に基づいて急速に変化するため、現在使用されていることが判明している脆弱性にパッチを当てるだけでは不十分である。
Brute force access ブルートフォース・アクセス
As previously discussed, poor password practice is another common access vector for enabling ransomware. In the same way actors can scan for known vulnerable devices, it is equally straightforward to scan for a device type and test common passwords in brute force attacks. In some cases, default passwords (that are widely known and shared) have not been changed. Tools like Crowbar, Hydra and NLBrute, specifically designed for conducting brute force attacks, make it easy for malicious actors (who can also use the same approach with certain network perimeter devices and common services such as RDP or SSH) to gain access. 先に述べたように、パスワードの使い方が悪いことも、ランサムウェアを有効にするための一般的なアクセス・ベクトルである。アクターが既知の脆弱性デバイスをスキャンできるのと同じように、デバイスのタイプをスキャンし、ブルートフォース攻撃で一般的なパスワードをテストするのも同様に簡単だ。場合によっては、(広く知られ共有されている)デフォルトのパスワードが変更されていないこともある。Crowbar、Hydra、NLBruteのようなツールは、ブルートフォース攻撃を行うために特別に設計されており、悪意のある行為者(特定のネットワーク境界デバイスやRDPやSSHのような一般的なサービスでも同じアプローチを使うことができる)が簡単にアクセスできるようにする。
Malicious actors will also use passwords from previous database breaches to gain access to current systems, since password re-use is relatively common. There is a premium charged for fresh accesses from recent database breaches, since most breach databases are often older (and therefore less likely to work in ransomware attacks). パスワードの再利用は比較的一般的であるため、悪意のある行為者はまた、現在のシステムにアクセスするために、以前のデータベース侵害のパスワードを使用する。ほとんどの侵害データベースは古いことが多いため(したがって、ランサムウェア攻撃で機能する可能性は低い)、最近のデータベース侵害からの新鮮なアクセスには割高感がある。
Stealers and loaders ステーラーとローダー
‘Stealers’ are a type of malware available on criminal forums that are used to harvest a variety of useful information (including credentials) which other criminals can use in fraud and/or ransomware attacks. In some cases, versions of the stealers have been leaked onto GitHub making them widely available for anyone to use. Prices range from hundreds to thousands of US dollars per month. ステーラー」は、犯罪フォーラムで入手可能なマルウェアの一種で、他の犯罪者が詐欺やランサムウェア攻撃に使用できる様々な有用情報(認証情報を含む)を採取するために使用される。場合によっては、ステラーのバージョンがGitHubに流出し、誰でも広く利用できるようになっている。料金は月額数百ドルから数千ドルである。
Racoon
FIGURE 5. SCREENSHOT OF RACCOON STEALER ADVERTISEMENT TRANSLATED INTO ENGLISH 図5. 英語に翻訳されたraccoon stealerの広告のスクリーンショット
Common features of stealers are: ステイラーの一般的な機能は以下の通り:
・stealing passwords stored in web browsers ・ウェブブラウザに保存されているパスワードを盗む。
・stealing cookies, browser version and other configuration details ・クッキー、ブラウザのバージョン、その他の設定情報を盗む。
・stealing form entry data from web browsers ・ウェブブラウザからフォーム入力データを盗む
・stealing stored credit card details ・保存されているクレジットカード情報を盗む
・taking screenshots ・スクリーンショットを撮る
・capturing antivirus details ・アンチウイルスの詳細をキャプチャする
・logging keyboard presses from users ・ユーザーのキーボード操作を記録する
This malware can evade detection by antivirus software due to the availability of criminal services that specialise in ‘crypting’ or modifying malware to ensure it’s not detected. このマルウェアは、検知されないようにマルウェアを「暗号化」または修正することに特化した犯罪サービスを利用できるため、ウイルス対策ソフトウェアによる検知を回避することができる。
Note: Although the credential stealing malware described above is used to access passwords stored in web browsers, the NCSC’s advice for general members of the public remains to store credentials in web browsers. This prevents the majority of users from using easily-guessed passwords (or re-using the same passwords across multiple accounts), both of which put people at risk following large scale data leaks when online services are compromised. 注:上記の認証情報窃取マルウェアは、ウェブブラウザに保存されたパスワードにアクセスするために使用されるが、NCSCの一般ユーザーに対するアドバイスは、認証情報をウェブブラウザに保存することに変わりはない。これにより、大多数のユーザーが推測されやすいパスワードを使用する(または複数のアカウントで同じパスワードを再使用する)ことを防ぐことができる。
‘Loaders' are another type of malware used to gather basic system information which is then used to deploy other malware. Loaders can be used to determine if a system is viable for ransomware before deploying more capable malware (and spending the time necessary to take over the whole network). ローダー」は、基本的なシステム情報を収集するために使用される別のタイプのマルウェアであり、その後、他のマルウェアを展開するために使用される。ローダーは、より高性能なマルウェアを展開する前に(そしてネットワーク全体を乗っ取るために必要な時間を費やす前に)、システムがランサムウェアにとって実行可能かどうかを判断するために使用されることがある。
We’ll often see a blurring of functionality, with some loaders gaining stealer functionality, and some stealers operating as loaders. Loaders were more common at the start of the growth in ransomware, with loaders such as Emotet and Trickbot leading to large volumes of victims that actors could choose from. More recently they are less common, with stolen credentials and vulnerable devices being a more readily available access. あるローダーはステアラーの機能を獲得し、あるステイラーはローダーとして動作するなど、機能の曖昧さがしばしば見られる。EmotetやTrickbotのようなローダーは、行為者が選択できる大量の被害者をもたらした。最近では、盗まれた認証情報や脆弱性デバイスがより容易にアクセスできるようになったため、ローダーはあまり見かけなくなった。
According to reporting in PWCs Strategic Intelligence Bulletin*, the most popular stealers on the market are RedLine Stealer, Raccoon Stealer and Vidar. Many criminals use these tools to steal credentials. Cyber crime marketplaces make it very easy for criminals to sell these stolen credentials in bulk. These marketplaces are similar to automated vending carts (AVCs) discussed in the previous NCSC cyber crime report, and allow criminals to buy credentials, typically under $100 for most services. PWC Strategic Intelligence Bulletin*の報告によると、市場で最も人気のある窃取ツールは、RedLine Stealer、Raccoon Stealer、Vidarである。多くの犯罪者がこれらのツールを使って認証情報を盗んでいる。サイバー犯罪のマーケットプレイスは、犯罪者がこれらの盗んだクレデンシャルを大量に販売することを非常に容易にしている。これらのマーケットプレイスは、前回のNCSCサイバー犯罪報告書で取り上げた自動販売カート(AVC)に似ており、犯罪者がクレデンシャルを購入することを可能にする。
Genesis is one such marketplace that was subject to a law enforcement disruption and prior to the disruption was among the top 3 reported credential marketplaces. Genesis also provided browser cookies and fingerprints so actors can mimic the original device and bypass authentication checks. These stolen credentials are preferred to large breach databases, as they are more recent and used by fewer criminals, and so more likely to work. Stealers are increasingly used outside the corporate environment due to the increase in home working and bring your own device (BYOD) initiatives. The availability of credentials for sale has been increasing as illustrated in the diagram below: Genesisは、法執行機関の妨害の対象となったそのようなマーケットプレイスの1つであり、妨害以前は、報告されたクレデンシャル・マーケットプレイスのトップ3に入っていた。Genesisはまた、ブラウザ・クッキーとフィンガープリントをプロバイダとして提供していたため、行為者はオリジナルのデバイスを模倣し、本人認証チェックを迂回することができる。これらの盗まれたクレデンシャルは、より新しく、より少ない犯罪者によって使用されるため、より機能する可能性が高いため、大規模な侵害データベースよりも好まれる。在宅勤務やBYOD(自分のデバイスを持ち込み)イニシアチブの増加により、窃取者はますます企業環境外で使用されるようになっている。下の図に示すように、クレデンシャルの販売可能性は増加している:
F6

FIGURE 6. APPROXIMATE CREDENTIAL AVAILABILITY ON RUSSIAN MARKET CRIMINAL FORUM 2022 VS 2023. SOURCE: SECUREWORKS 図 6. ロシア市場の犯罪者フォーラムにおけるクレデンシャル入手可能性の概算 2022 年対 2023 年。出典 SECUREWORKS
The deployment of MFA on remotely accessible business accounts makes using stolen credentials much harder for criminals, but there are - at a cost - services that use social engineering techniques to bypass these mitigations. リモート・アクセス可能なビジネス・アカウントに MFA が導入されたことで、犯罪者は盗まれたクレデンシャルを使用することが非常に難しくなったが、ソーシャル・エンジニアリングのテクニックを使用してこれらの低減をバイパスするサービスも(コストはかかるが)存在する。
Distribution 配布
Loaders and stealers require distribution to gain large victim volumes. Phishing services on criminal forums supply this distribution by sending a large number of emails with malicious attachments, or links to trick users into visiting malicious websites. Other popular distribution techniques include: ローダーやステイラーは、大量の被害者を得るためにディストリビューションを必要とする。犯罪フォーラムにおけるフィッシング・サービスは、悪意のある添付ファイル付きの電子メールを大量に送信したり、ユーザーを騙して悪意のあるウェブサイトにアクセスさせるリンクを送信したりすることで、この配布を行う。その他の一般的な配布手法には、以下のようなものがある:
・malvertising (when an attacker uses advertising as a delivery method for malicious activity) ・マルバタイジング(攻撃者が広告を悪意のある活動の配信手段として利用すること)
・SEO (search engine optimisation) poisoning to return malicious links to common search terms ・SEO(検索エンジン最適化)ポイズニングにより、一般的な検索キーワードに悪意のあるリンクを貼り付ける。
・embedding malware in cracked software ・クラックされたソフトウェアにマルウェアを埋め込む
Traffic Distribution Systems (TDS) also play an important role in malware delivery. A TDS is similar to legitimate advertising services; they receive visits from users who have clicked links in malicious emails, and capture basic system information such as geographical location, browser or operating system version. The main benefit of a TDS is that it allows cyber criminals to define redirection rules from an administration panel based on the type of visitors browsing the system’s web of malicious landing pages. This means that different categories of visitors can be redirected to different campaigns, depending on the target audience. トラフィック配信システム(TDS)も、マルウェアの配信において重要な役割を果たしている。TDSは合法的な広告サービスと似ており、悪意のある電子メールのリンクをクリックしたユーザーの訪問を受け、地理的な位置、ブラウザやオペレーティングシステムのバージョンなどの基本的なシステム情報を取得する。TDSの主な利点は、悪意のあるランディングページを閲覧する訪問者のタイプに基づいて、サイバー犯罪者が管理パネルからリダイレクトルールを定義できることである。つまり、ターゲットに応じて異なるカテゴリーの訪問者を異なるキャンペーンにリダイレクトすることができる。
TDSs were very popular with exploit kits to ensure the correct exploits were used against the right browser to minimise the risk of detection. More recently they are proving very popular in phishing distribution, blocking known security research IPs from receiving the malicious payload for analysis. 検知のリスクを最小化するために、適切なブラウザに対して適切なエクスプロイトが使用されるようにするため、TDSはエクスプロイトキットで非常に人気があった。さらに最近では、フィッシング詐欺の配信に利用され、既知のセキュリティ・リサーチ用IPが悪意のあるペイロードを受信するのをブロックし、分析に利用されている。
* CTO-SIB-20230224-01A - Strategic Intelligence Bulletin: We can steal it for you wholesale”, Price Waterhouse Coopers, 2023 * CTO-SIB-20230224-01A - ストラテジック・インテリジェンス・ブレティン: プライスウォーターハウスクーパース、2023年。
Initial access brokers 初期アクセスブローカー
Inital_access_brokers_acces_market_place
FIGURE 7. INITIAL ACCESS BROKERS 図 7. イニシャル・アクセス・ブローカー
An alternative to selling credentials to marketplaces is to sell to Initial Access Brokers (IABs). IABs are actors that take in large volumes of access garnered across these access methods, and filter for the highest value victims to resell at a higher cost. They will often buy stolen credentials in bulk, or conduct their own scanning for vulnerable systems. マーケットプレイスへのクレデンシャル販売に代わるものとして、イニシャル・アクセス・ブローカー(IAB)への販売がある。IAB は、これらのアクセス方法を通じて収集された大量のアクセスを取り込み、より高いコストで再販するために最も価値の高い被害者をフィルタリングするアクターである。IABは多くの場合、盗んだクレデンシャルを一括で購入したり、脆弱性のあるシステムを独自にスキャンしたりする。
An IAB's primary function is to filter these for likely businesses, test the access works (occasionally setting up backup access methods) and triaging the business for onward sale. Some work to requirements from ransomware actors, others do not have specific customers in mind and just re-advertise the confirmed high value access for anyone to buy. IABの主な機能は、可能性のあるビジネスに対してこれらをフィルタリングし、アクセスが機能するかテストし(時にはバックアップアクセス方法を設定する)、その後販売するためにビジネスをトリアージすることである。ランサムウェアの実行者から要求される要件を満たすために働くものもあれば、特定の顧客を念頭に置かず、確認された高価値のアクセスを誰でも買えるように再広告するだけのものもある。
Once accesses have been validated, IABs will often confirm the access is to a corporate network, identify the approximate size of the network in terms of number of machines/users, as well as attempt to identify who the victim is from the network domain information. This is used to work out the value of the company from records such as Companies House and commercial datasets like ZoomInfo. IABs resell accesses for thousands of US Dollars depending on the value of the victim. アクセスが確認されると、IABは多くの場合、企業ネットワークへのアクセスであることを確認し、マシンやユーザーの数からネットワークのおおよその規模を特定し、ネットワークドメイン情報から被害者が誰であるかを特定しようとする。この情報は、Companies Houseなどの記録やZoomInfoのような商用データセットから企業の価値を算出するために使用される。IABは、被害者の価値に応じて、アクセスを数千米ドルで転売する。

F8
FIGURE 8. COPY OF AN IAB ADVERTISEMENT OF AN ACCESS FOR SALE. SOURCE: MANDIANT 図8. アクセスを販売するIABの広告のコピー。出典 MANDIANT
Ransomware business models ランサムウェアのビジネスモデル
Affiliates_raas2x
FIGURE 9. RANSOMWARE BUSINESS MODELS 図 9. ランサムウェアのビジネスモデル
As with any business types, there are many business models to obtain ransomware. Each have their own quirks, and will often reflect the preferences of the actors running the business, and how they like to work. どのようなビジネスタイプにも言えることだが、ランサムウェアを入手するためのビジネスモデルは数多く存在する。それぞれに癖があり、ビジネスを実行する行為者の好みや、彼らがどのように仕事をしたいかが反映されていることが多い。
Buy-a-build 出来上がり物の購入
Possibly the simplest business model available to ransomware actors is to obtain existing ransomware code. This is typically low cost, as writing ransomware is not technically challenging from a coding perspective. The sale of the Dharma ransomware source code was listed for as little as 2,000 US Dollars and many others have had their ransomware source code leaked to criminal forums, or even the public. Recent examples include LockBit 3.0 and Conti, both of which can now be used by any actor. ランサムウェアの実行者が利用できる最も単純なビジネスモデルは、既存のランサムウェアのコードを入手することだろう。ランサムウェアを書くことはコーディングの観点から技術的に難しくないため、これは一般的に低コストである。Dharmaランサムウェアのソースコードの販売は、わずか2,000米ドルでリストアップされており、他の多くのランサムウェアのソースコードが犯罪フォーラム、あるいは一般に流出している。最近の例としては、LockBit 3.0やContiがあり、これらは現在、どのような行為者でも使用することができる。
The buy-a-build model tends to appeal most to the smaller groups with lower skill levels who are less likely to pull in large ransoms from big businesses. They also often lack the connections to operate in the other business models that are more profitable. バイ・ア・ビルド・モデルは、大企業から多額の身代金を引き出す可能性が低い、スキルレベルの低い小規模なグループに最もアピールする傾向がある。また、より収益性の高い他のビジネスモデルで活動するためのコネクションもないことが多い。
Perhaps counter-intuitively, the leaking of ransomware source code is not particularly helpful for security professionals. While criminals and independent researchers leaking code in this fashion undermines the original criminals who wrote it, the impact is rarely sustained as it is easy to start again and rebrand. Furthermore, it diversifies the ransomware available as they are used by multiple actors or built into new “frankenstein ransomware” variants, making attribution of attacks to actors even harder for law enforcement. 直感に反するかもしれないが、ランサムウェアのソースコードの流出は、セキュリティの専門家にとって特に有益ではない。犯罪者や独立した研究者がこのような方法でコードを流出させることは、それを書いた元の犯罪者を弱体化させるが、再出発やブランドの変更は容易であるため、影響が持続することはほとんどない。さらに、複数の行為者によって使用されたり、新たな「フランケンシュタイン・ランサムウェア」亜種に組み込まれたりするため、利用可能なランサムウェアが多様化し、法執行機関にとって行為者への攻撃の帰属をさらに困難にする。
In-house インハウス
The traditional ransomware business model is a full ‘in-house’ solution, where the same threat group responsible for developing the ransomware conduct much of the attack. That is not to say they do not require the marketplace, in fact many still use it for parts of the attack chain, including for cryptocurrency services. 従来のランサムウェアのビジネスモデルは、完全な「インハウス」ソリューションであり、ランサムウェアの開発に責任を持つ同じ脅威グループが攻撃の大部分を行う。しかし、彼らがマーケットプレイスを必要としないというわけではなく、実際、暗号通貨サービスを含め、攻撃チェーンの一部にマーケットプレイスを利用しているケースも多い。
The group behind Conti ransomware predominantly followed this model. While they recruited operators (affiliates), the payment model was very different to ransomware as a service. Since the group provided most of the accesses, the tooling and operating procedures (as well as the ransomware itself), the group held onto the majority of the profits. Most of the operators are understood to have been salaried and took a commission from the ransomware payments with the rest going to the core group. This is largely reflective of car sales models in legitimate businesses, where the salesperson receives a base salary (and annual leave, and suchlike) but is encouraged to make more sales through the use of commission. Contiランサムウェアの背後にいるグループは、主にこのモデルに従っていた。彼らはオペレーター(アフィリエイト)を募集していたが、支払いモデルはサービスとしてのランサムウェアとは大きく異なっていた。同グループはアクセス、ツール、操作手順(ランサムウェア自体も)のほとんどをプロバイダとして提供したため、利益の大半は同グループが握っていた。オペレーターのほとんどはサラリーマンで、ランサムウェアの支払いから手数料を取り、残りはコア・グループに支払われたと見られている。これは、合法的なビジネスにおける自動車販売モデルを反映したもので、販売員は基本給(および年次休暇など)を受け取るが、コミッションを利用することでより多くの販売を行うよう奨励される。
While this model is less common, some groups still primarily operate as an in-house business model. Ransomware such as Cuba and Vice Society are not available for sale in the criminal marketplaces. In the case of Cuba ransomware, access was primarily via the Hancitor Loader. Vice Society typically do not use loaders, and are routinely observed conducting attacks against the education sector. Use of a common access vector or targeting profile suggests it is a single group conducting these operations from the point of access to the deployment of ransomware. Access vectors and other behaviours are much more diverse in ‘ransomware as a service’ models. このモデルはあまり一般的ではなくなってきているが、一部のグループは今でも主に社内ビジネスモデルとして活動している。CubaやVice Societyのようなランサムウェアは、犯罪マーケットプレイスでは販売されていない。Cubaランサムウェアの場合、アクセスは主にHancitor Loaderを介して行われた。Vice Societyは通常、ローダーを使用せず、教育セクターに対する攻撃を行うことが日常的に観察されている。共通のアクセスベクターや標的プロファイルを使用することから、アクセスからランサムウェアの展開まで、これらの作戦を実施しているのは単一のグループであることが示唆される。サービスとしてのランサムウェア」モデルでは、アクセスベクターやその他の行動ははるかに多様である。
Ransomware as a Service ランサムウェア・アズ・ア・サービス
The ransomware business model seen most frequently is ‘ransomware as a service’ (RaaS). In this model, ransomware groups typically provide a web portal to enable affiliates/customers to customise their ransomware and obtain new builds with unique encryption keys per customer. Many include a communications platform to make the ransom negotiation easier and more anonymous for the affiliate. Most ransomware will also include features to delete local backups to hinder recovery. Other features of the service include access to data leak sites, where affiliates can publish stolen data as an added incentive for victims to pay. 最も頻繁に見られるランサムウェアのビジネスモデルは、「ランサムウェア・アズ・ア・サービス」(RaaS)である。このモデルでは、ランサムウェアグループは通常、アフィリエイトや顧客がランサムウェアをカスタマイズし、顧客ごとに固有の暗号化キーを持つ新しいビルドを入手できるようにするためのウェブポータルを提供する。多くの場合、アフィリエートにとって身代金交渉がより簡単で匿名性の高いものになるよう、コミュニケーション・プラットフォームが含まれている。ほとんどのランサムウェアには、復旧を妨げるためにローカルのバックアップを削除する機能も含まれている。このサービスの他の特徴としては、データ流出サイトへのアクセスがあり、アフィリエイトは被害者が支払いをするための追加的なインセンティブとして、盗まれたデータを公開することができる。
RaaS groups are often aware of western laws and regulations and use that knowledge to shape their criminal activity. Data leak sites became popular in the hope of pressuring victims that could face large fines under laws such as UK GDPR and the Data Protection Act 2018. While the threat of leaking sensitive data (whether intellectual property or personal data) often carries real weight with victims, the victim can be liable for not protecting the data, regardless of whether it becomes public on the leak site. RaaSグループは多くの場合、欧米の法律や規制を把握しており、その知識を利用して犯罪活動を形成している。データ漏えいサイトは、英国のGDPRやデータ保護法2018などの法律の下で多額の罰金に直面する可能性のある被害者に圧力をかけることを期待して人気が出た。機密データ(知的財産であれ個人データであれ)の流出の脅威は、しばしば被害者に現実的な重みをもたらすが、流出サイトで公開されるかどうかにかかわらず、被害者はデータを保護しなかった責任を負う可能性がある。
A recent example of this can be found in the reported negotiations between Lockbit and the Royal Mail, where the malicious actor attempts to use this leverage, failing to grasp that the very public nature of the attack (and that LockBit publicly claimed the attack) means that paying to prevent the data release does not necessarily prevent the victim being fined for the breach. They could have paid an exorbitant cost to the criminals, and still be subject to GDPR regulations and potentially be fined. The relationship between RaaS group and affiliate can further be observed in the reporting around this incident, as LockBit initially denied responsibility until the group identified which affiliate conducted the attack. 最近の例では、Lockbit社とRoyal Mail社との交渉が報じられているが、悪意ある行為者はこのような梃子(てこ)を使おうとし、攻撃の公共性(LockBit社が攻撃を公に主張したこと)が非常に高いということは、データ流出を防ぐために金銭を支払ったとしても、被害者が侵害に対して罰金を科されることを必ずしも防げないということを理解していない。犯罪者に法外な費用を支払っても、GDPR規制の対象となり、罰金を科される可能性があるのだ。RaaSグループと関連会社の関係は、このインシデントに関する報道でも確認できる。ロックビットは当初、どの関連会社が攻撃を行ったかを特定するまで責任を否定していたからだ。
There are many subtle differences between the RaaS groups as each attempts to refine their business models for maximum profit. Some will deploy ransomware attacks on businesses dependent on IT systems (such as manufacturing and logistics) but conduct data leak-only attacks (with no encryption) against sectors where the data privacy is more important, such as law firms or healthcare services. RaaSグループには多くの微妙な違いがあり、それぞれが最大の利益を得るためにビジネスモデルを洗練させようとしている。ITシステムに依存する事業者(製造や物流など)に対してランサムウェア攻撃を展開する者もいれば、法律事務所や医療サービスなどデータ・プライバシーがより重要な分野に対しては、データ漏洩のみの攻撃(暗号化なし)を行う者もいる。
The most important thing to note about RaaS is that typically it’s the affiliate that obtains and uses the access, not the RaaS group. This is an important distinction in the eyes of the law and is actually two different offences under the Computer Misuse Act (CMA) (1990). Writing and selling ransomware falls under Section 3A of the CMA, while the affiliate conducting the attack is subject to Section 3 or 3ZA (depending on the impact). RaaSに関して最も重要なことは、通常、アクセスを取得し使用するのはRaaSグループではなく、アフィリエイトであるということだ。これは法律上重要な違いであり、コンピュータ不正利用法(CMA)(1990年)の下では、実際には2つの異なる犯罪となる。ランサムウェアの作成と販売はCMA第3条Aに該当し、攻撃を行う関連会社は第3条または第3ZA条(影響によって異なる)の対象となる。
One example of this is the attack on Royal Mail, which was publicly attributed to LockBit. However, LockBit are simply the RaaS group who are said to have provided the ransomware, it would have been a LockBit affiliate that obtained and exploited the access. While many RaaS groups have ‘terms of service’ that prevent affiliates ransoming certain targets (such as healthcare and critical national infrastructure) the enforcement of it is varied between groups. In some cases they ‘vet’ the victim before supplying the ransomware. In others it is retrospectively applied, and may mean they won’t supply to the affiliate for use in future attacks. In either scenario, the control the RaaS group exerts over the affiliate is often after the point of compromise. その一例が、公にロックビットの仕業とされたロイヤルメールへの攻撃である。しかし、LockBitは単にランサムウェアをプロバイダとして提供したとされるRaaSグループであり、アクセスを取得し悪用したのはLockBitの関連会社であった。多くのRaaSグループは、関連会社が特定のターゲット(ヘルスケアや重要な国家インフラなど)の身代金を要求することを防ぐ「利用規約」を定めているが、その実施方法はグループによって異なる。ランサムウェアを提供する前に被害者を「審査」するケースもある。また、過去にさかのぼって適用される場合もあり、将来の攻撃で使用するために関連会社に提供しないことを意味する場合もある。いずれのシナリオにせよ、RaaSグループがアフィリエイトに対して行使するコントロールは、侵害が発生した時点より後に行われることが多い。
The enforcement of the terms of service reflect a risk-driven approach to the attention RaaS groups invite from UK and international law enforcement. Law enforcement activity can reduce the popularity of a criminal service, with affiliates switching to other brands. This was seen with the DarkSide ransomware that the FBI has said was used in the attack on the US Colonial Pipeline, resulting in widespread disruption to the US east coast. The Darkside ransomware collapsed as a brand after law enforcement seized the cryptocurrency of the affiliate that conducted the attack. 利用規約の施行は、RaaSグループが英国や国際的な法執行機関から受ける注目に対するリスク主導のアプローチを反映している。法執行機関の活動は、アフィリエイトが他のブランドに乗り換えることで、犯罪サービスの人気を低下させる可能性がある。これは、米国のコロニアル・パイプラインへの攻撃で使用され、米国東海岸に広範な混乱をもたらしたとFBIが発表したDarkSideランサムウェアで見られた。ダークサイド・ランサムウェアは、法執行機関が攻撃を行った関連会社の暗号通貨を押収した後、ブランドとして崩壊した。
In recognition of the increased skillset of the affiliate (and the fact they do a larger portion of the work), the RaaS group typically takes a smaller percentage of the ransom. Until recently this was approximately 45%, but with the increased competition from more RaaS groups, that figure has decreased. アフィリエイトのスキルの高さ(および作業の大部分を彼らが行っている事実)を認識し、RaaSグループは通常、身代金の少ない割合を取る。最近までこの割合は約45%だったが、より多くのRaaSグループとの競争が激化したため、この数字は減少している。
Post exploitation tools ポスト搾取ツール
Post exploitation tools are primarily used by affiliates. They are often tools that are built for system administrators or legitimate adversary simulation teams to enable improvement of system security. They are a challenge for security professionals as they are legitimate tools and are widely available, so they can’t simply be banned/disrupted wholesale in the same way that malware can. ポスト搾取ツールは、主にアフィリエイトによって使用される。多くの場合、システム管理者や正当な敵対者のシミュレーションチームのために構築され、システムセキュリティの改善を可能にするツールである。正規のツールであり、広く利用可能であるため、マルウェアのように単純に全面的に禁止/破壊することができないため、セキュリティ専門家にとっては難題である。
The most popular of these tools is Cobalt Strike. Other tools include Meterpreter, Sliver and Brute Ratel. To evade detection, criminals are also using existing administration tools and free trials of legitimate remote management software, such as Atera and Splashtop. Many criminals are not experts in conducting attacks, and groups will also sell accesses to those actors who don’t have the skills to use the tools effectively. これらのツールの中で最も人気があるのはCobalt Strikeだ。その他のツールには、Meterpreter、Sliver、Brute Ratelなどがある。検知を逃れるために、犯罪者は既存の管理ツールや、AteraやSplashtopといった正規のリモート管理ソフトウェアの無料トライアル版も使用している。犯罪者の多くは攻撃行為の専門家ではないため、グループはツールを効果的に使用するスキルを持たない行為者にアクセス権を販売することもある。
Financial services 金融サービス
Financial_services2x
FIGURE 10. FINANCIAL SERVICES 図 10. 金融サービス
Finally, if the victim makes a payment following an attack, the criminals need to convert the cryptocurrency to hard currency to spend. There are many services that can ‘tumble’ cryptocurrency through several exchanges, splitting the payment into smaller transactions to make funds more difficult to trace. Although some exchanges are legitimate, there are also several cryptocurrency exchanges that are complicit in assisting ransomware criminals to exchange cryptocurrency into other forms of currency. Examples of this includes SUEX, which has been sanctioned by the US Department of Treasury. 最後に、攻撃後に被害者が支払いを行う場合、犯罪者は暗号通貨をハードカレンシーに変換して使用する必要がある。暗号通貨を複数の取引所で「タンブリング」し、支払いを小口取引に分割して資金の追跡を困難にするサービスは数多く存在する。合法的な取引所もあるが、ランサムウェア犯罪者が暗号通貨を他の通貨に交換するのを手助けすることに加担している暗号通貨取引所もいくつかある。この例には、米国財務省によって制裁されているSUEXが含まれる。
Cryptocurrency is a staple of ransomware and the criminals rely upon the anonymity it provides. A lack of funds can quickly dismantle criminal enterprises as was seen with the group behind Conti. Analysis of the leaked chat data showed that the actor in charge of the group appeared to leave in late January to early February 2022 (a month prior to the leaks) and took with them the majority of the money to pay wages. As a result, communications were sent to the wider group enforcing a temporary disbanding due to lack of funds. 暗号通貨はランサムウェアの定番であり、犯罪者はそれが提供する匿名性に依存している。Contiの背後にいるグループに見られたように、資金不足は犯罪エンタープライズをすぐに崩壊させる可能性がある。流出したチャットデータの分析によると、グループの責任者は2022年1月下旬から2月上旬(流出の1カ月前)に退社し、賃金を支払うための資金の大部分を持っていったようだ。その結果、資金不足による一時的な解散を強制するコミュニケーションが、より広いグループに送られた。
The NCA demonstrated that a cryptowallet associated with the actor in charge of the criminal group behind Conti contained approximately 95m US Dollars at the time the actor left Conti, however the remaining actors could no longer pay wages to the actors conducting the work. Arrest videos released by Russian authorities of cyber criminal actors typically show small, untidy apartments and a rather unglamorous lifestyle. This shows that while those at the top can accumulate large amounts of wealth and live extravagant lifestyles, the majority of criminals don’t make the profits that likely tempted them to the business in the first place. NCAは、Contiの背後にいる犯罪グループの責任者である行為者がContiを去った時点で、その行為者に関連するクリプトウォレットに約9,500万米ドルが入っていたことを証明したが、残された行為者はもはや作業を行う行為者に賃金を支払うことができなかった。ロシア当局が公開したサイバー犯罪者の逮捕ビデオには、通常、狭くて整理整頓されていないアパートや、どちらかといえば華美でないライフスタイルが映し出されている。このことは、トップに立つ者は巨額の富を蓄え、贅沢なライフスタイルを送ることができるが、大多数の犯罪者は、そもそもこのビジネスに誘惑されたと思われるような利益を上げていないことを示している。
Conclusion 結論
This white paper has illustrated how ransomware and extortion attacks reflect a diverse and varied business model, that's reliant on a complex supply chain. Focussing on specific ransomware strains can be confusing at best, and unhelpful at worst. Most ransomware incidents are not due to sophisticated attack techniques; the initial accesses to victims are gained opportunistically, with success usually the result of poor cyber hygiene. Implementing the NCSC guidance listed below would interrupt the majority of attacks. このホワイトペーパーでは、ランサムウェアや恐喝攻撃が、複雑なサプライチェーンに依存した多様で多様なビジネスモデルを反映していることを説明した。特定のランサムウェアの系統に焦点を当てることは、良く言えば混乱を招き、悪く言えば役に立たない。ほとんどのランサムウェアインシデントは、洗練された攻撃テクニックによるものではなく、被害者への最初のアクセスは場当たり的に獲得され、成功は通常、サイバー衛生の不備の結果である。以下に挙げるNCSCのガイダンスを実施すれば、大半の攻撃を阻止できるだろう。
The shifts in the ecosystem around ransomware and extortion demonstrate how cyber criminals will adopt whichever technology (or business model) allows them to best exploit their victims. This means the threat will continue to adapt and evolve as threat actors seek to maximise profits. ランサムウェアと恐喝をめぐるエコシステムの変化は、サイバー犯罪者が被害者から最も搾取できる技術(またはビジネスモデル)を採用することを示している。つまり、脅威行為者が利益を最大化しようとする中で、脅威は適応し進化し続けるということだ。
While on the surface, an attack can be attributed to a piece of ransomware (such as Lockbit), the reality is more nuanced, with a number of cyber criminal actors involved throughout the process. Tackling individual ransomware variants – something which the NCSC and NCA are frequently challenged on – is akin to treating the symptoms of an illness, and is of limited use unless the underlying disease is addressed. Taking a more holistic view by understanding the elements of the wider ecosystem allows us to better target the threat actors further upstream, in addition to playing ‘whack-a-mole’ with the ransomware groups. 表面的には、攻撃はランサムウェアの一部(Lockbitなど)に起因しているが、現実はより微妙であり、プロセス全体を通して多くのサイバー犯罪者が関与している。個々のランサムウェアの亜種に対処することは、NCSCとNCAが頻繁に問われていることであるが、病気の症状を治療するようなものであり、根本的な病気に対処しない限り、その効果は限定的である。より広範なエコシステムの要素を理解することで、より全体的な視点を持つことができ、ランサムウェアグループとの「モグラたたき」に加えて、さらに上流の脅威行為者をより的確にターゲットにすることができる。
Prevent and protect against ransomware ランサムウェアを防ぎ、保護する
The following NCSC publications have been created to help organisations to defend themselves from ransomware, and to recover from the impact if they do suffer an attack. 以下のNCSCの出版物は、組織がランサムウェアから身を守り、攻撃を受けた場合にその影響から回復するのに役立つように作成されている。
NCSC guide to ransomware ランサムウェアに関するNCSCガイド
An area of the NCSC’s website dedicated to ransomware ランサムウェアに特化したNCSCのウェブサイトのエリア
Mitigating malware and ransomware attacks マルウェアおよびランサムウェア攻撃の低減
How to defend organisations against malware or ransomware attacks マルウェアやランサムウェアの攻撃から組織を守る方法
Protecting bulk personal data 大量の個人データの防御
15 good practice measures for the protection of bulk data held by digital services デジタルサービスが保有するバルクデータの保護に関する15のグッドプラクティス対策
Incident management インシデント管理
How to effectively detect, respond to and resolve cyber incidents サイバーインシデントを効果的に検知、対応、解決する方法
Multi-factor authentication for online services オンラインサービスの多要素認証
Advice for organisations on implementing multi-factor authentication (or 2-step verification) 多要素認証(または2段階認証)を導入する際の組織向けアドバイス

 

 

 

| | Comments (0)

2023.09.12

Atlantic Council 巧妙な手口:中国がソフトウェアの脆弱性を武器にする方法

こんにちは、丸山満彦です。

Atlantic Council [wikipedia] が、「巧妙な手口:中国がソフトウェアの脆弱性を武器にする方法」という文書を公表していますね。。。

 

 

Atlantic Council

・2023.09.06 Sleight of hand: How China weaponizes software vulnerabilities

 

Sleight of hand: How China weaponizes software vulnerabilities 巧妙な手口:中国がソフトウェアの脆弱性を武器にする方法
Table of contents 目次
Executive summary 要旨
Introduction 序文
China’s software vulnerability disclosure ecosystem 中国のソフトウェア脆弱性開示エコシステム
Before the RMSV RMSV以前
China National Vulnerability Database (CNVD) 中国国家脆弱性データベース(CNVD)
China National Vulnerability Database of Information Security (CNNVD) 中国情報セキュリティ国家脆弱性データベース(CNNVD)
China’s New Vulnerability Management System under the RMSV: The NVDB RMSVの下での中国の新しい脆弱性管理システム:NVDB
Few good options 良い選択肢はほとんどない
Conclusion 結論
Key recommendations 主な提言

 

エグゼクティブサマリー...

Executive summary エグゼクティブサマリー
The Cyberspace Administration of China (CAC), the Ministry of Public Security (MPS), and the Ministry of Industry and Information Technology (MIIT) published the “Regulations on the Management of Network Product Security Vulnerabilities” (RSMV) in July 2021. Even before the regulations were implemented in September 2021, analysts had issued warnings about the new regulation’s potential impact.1 At issue is the regulations’ requirement that software vulnerabilities—flaws in code that attackers can exploit—be reported to the MIIT within forty-eight hours of their discover by industry (Article 7 Section 2).2 The rules prohibit researchers from: publishing information about vulnerabilities before a patch is available, unless they coordinate with the product owner and the MIIT; publishing proof-of-concept code used to show how to exploit a vulnerability; and exaggerating the severity of a vulnerability.3 In effect, the regulations push all software-vulnerability reports to the MIIT before a patch is available. Conversely, the US system relies on voluntary reporting to companies, with vulnerabilities sourced from researchers chasing money and prestige, or from cybersecurity companies that observe exploitation in the wild.  中国サイバー空間管理局(CAC)、公安部(MPS)、工業情報化部(MIIT)は2021年7月、「ネットワーク製品セキュリティ脆弱性管理規則」(RSMV)を発表した。この規則が2021年9月に施行される前から、アナリストたちはこの新規制の潜在的な影響について警告を発していた[1]。問題になっているのは、ソフトウェアの脆弱性(攻撃者が悪用可能なコードの欠陥)を産業界が発見してから48時間以内にMIITに報告することを義務付ける規制である(第7条第2項)[2]。同規制では、研究者が製品所有者やMIITと調整しない限り、パッチが提供される前に脆弱性に関する情報を公表すること、脆弱性を悪用する方法を示す概念実証コードを公表すること、脆弱性の重大性を誇張することを禁じている[3]。事実上、この規制は、パッチが利用可能になる前に、すべてのソフトウェア脆弱性報告をMIITに押し付けている。逆に、米国のシステムは、企業への自主的な報告に依存しており、脆弱性は、金と名声を追い求める研究者、あるいは、野生の脆弱性悪用を観察するサイバーセキュリティ企業から提供されている。
Software vulnerabilities are not some mundane part of the tech ecosystem. Hackers often rely on these flaws to compromise their targets. For an organization tasked with offensive operations, such as a military or intelligence service, it is better to have more vulnerabilities. Critics consider this akin to stockpiling an arsenal.4 When an attacker identifies a target, they can consult a repository of vulnerabilities that enable their operation. Collecting more vulnerabilities can increase operational tempo, success, and scope. Operators with a deep bench of tools work more efficiently, but companies patch and update their software regularly, causing old vulnerabilities to expire. In a changing operational environment, a pipeline of fresh vulnerabilities is particularly valuable.  ソフトウェアの脆弱性は、ハイテク・エコシステムのありふれた一部ではない。ハッカーはしばしば、標的を侵害するためにこれらの欠陥を利用する。軍や諜報機関のような攻撃的な作戦を任務とする組織にとっては、脆弱性は多い方がいい。批評家たちは、これは兵器庫の備蓄に似ていると考えている[4]。攻撃者は標的を特定すると、その作戦を可能にする脆弱性のリポジトリを参照することができる。より多くの脆弱性を収集することで、作戦のテンポ、成功率、スコープを向上させることができる。しかし、企業は定期的にパッチやアップデートを行うため、古い脆弱性は期限切れになる。変化する作戦環境において、新鮮な脆弱性のパイプラインは特に貴重である。
This report details the structure of the MIIT’s new vulnerability databases, how the new databases interact with older ones, and the membership lists of companies participating in these systems. The report produces four key findings. 本報告書では、MIITの新しい脆弱性データベースの構造、新しいデータベースと古いデータベースとの相互作用、およびこれらのシステムに参加している企業の会員リストについて詳述する。本報告書では、4つの重要な発見がなされている。
1. The RMSV (Article 7, Section 3) requires the MIIT’s new database to share vulnerability and threat data with the National Computer Network Emergency Response Technical Team/Coordination Center of China (CNCERT/CC) and Ministry of Public Security (MPS). Sharing these data with CNCERT/CC allows them to reach organizations with offensive missions. CNCERT/CC’s partners can access vulnerability reports through its own China National Vulnerability Database (CNVD). The CNVD’s Technology Collaboration Organizations with access to reports submitted to MIIT include: the Beijing office of the Ministry of State Security’s (MSS) 13th Bureau (Beijing ITSEC, 北京信息安全测评中心), Beijing Topsec—a known People’s Liberation Army (PLA)-contractor connected to the hack of Anthem Insurance, and a research center responsible for “APT [advanced persistent threat] attack and defense” at Shanghai Jiao Tong University, which houses a cybersecurity school tied to PLA hacking campaigns.5 The vulnerability sharing with the MSS 13th Bureau’s Beijing office is particularly concerning. Experts note that the bureau spent the last twenty years getting early access to software vulnerabilities.6 1. RMSV(第7条第3項)は、MIITの新データベースに対し、脆弱性と脅威のデータを中国国家コンピュータネットワーク緊急対応技術チーム/調整センター(CNCERT/CC)および公安部(MPS)と共有するよう求めている。これらのデータをCNCERT/CCと共有することで、攻撃的な使命を持つ組織に働きかけることができる。CNCERT/CCのパートナーは、独自の中国国家脆弱性データベース(CNVD)を通じて脆弱性レポートにアクセスすることができる。MIIT に提出された報告書にアクセスできる CNVD の技術協力組織には、以下のものがある: 国家安全保障省(MSS)第13局北京事務所(北京ITSEC、北京信息安全测评中心)、人民解放軍(PLA)の下請け業者として知られる北京トップセック(Anthem Insuranceのハッキングに関係)、「APAP」を担当する研究センターなどがある、 そして上海交通大学の「APT(高度持続的脅威)攻撃と防御」を担当する研究センターは、PLAのハッキングキャンペーンに関連したサイバーセキュリティスクールを擁している。 [5] MSS第13局の北京事務所との脆弱性共有は特に問題だ。専門家は、同局は過去20年間、ソフトウェアの脆弱性にいち早くアクセスすることに費やしてきたと指摘している[6]。
2. There are likely bureaucratic issues involved in implementing the RMSV among relevant entities. Mandatory disclosure of vulnerabilities to MIIT undercuts other, government-run, voluntary databases in China. CNVD disclosed fewer vulnerabilities after the regulation went into effect, and its publication of vulnerabilities for industrial control systems ground to a halt in 2022. This decline is likely the result of CNVD waiting for a patch before publishing. With no reporting requirement, and the inability to publish without a patch, the value of the voluntary database is unclear. One benefit may be collection. CNCERT/CC has incident-response contracts with thirty-one countries.7 It is unclear if these contracts allow CNCERT/CC to collect vulnerability information. 2. 関連事業体の間でRMSVを実施するには、官僚的な問題があると思われる。MIITへの脆弱性開示のガバナンスの義務化は、中国における他の政府運営の任意データベースを弱体化させる。CNVDは規制発効後、脆弱性の開示を減らし、産業用制御システムの脆弱性の公表は2022年に停止した。この減少は、CNVDが公開前にパッチを待った結果であると思われる。報告義務がなく、パッチがなければ公表できないため、自主データベースの価値は不明確である。一つの利点は収集であろう。CNCERT/CC は、31 カ国とインシデント対応契約を結んでいる[7] 。これらの契約により、 CNCERT/CC が脆弱性情報を収集できるかどうかは不明である。
3. Besides just collecting software vulnerabilities, the MIIT is funding their discovery through research grants to improve product security standards.  3. ソフトウェアの脆弱性を収集するだけでなく、MIITは、製品のセキュリティ標準を改善するための研究助成金を通じて、脆弱性の発見に資金を提供している。
4. An MSS vulnerability database requires its private-sector partners to produce software vulnerabilities. These 151 cybersecurity companies provide software vulnerabilities to the MSS 13th Bureau. This report finds that these companies employ at least 1,190 software vulnerability researchers. Each year the researchers provide at least 1,955 software vulnerabilities to the MSS, at least 141 of which are “critical” severity. Once received by the MSS, they are almost certainly evaluated for offensive use. 4. MSS 脆弱性データベースは、民間パートナーにソフトウェア脆弱性の提供を求めている。これら151のサイバーセキュリティ企業は、ソフトウェアの脆弱性をMSS第13局に提供している。本報告書によれば、これらの企業は少なくとも1,190人のソフトウェア脆弱性研究者を雇用している。毎年、研究者は少なくとも1955件のソフトウェア脆弱性をMSSにプロバイダしており、そのうち少なくとも141件は「クリティカル」な重大度である。MSSが受け取った脆弱性は、ほぼ間違いなく攻撃的な利用が可能かどうか評価される。
The mandates to disclose vulnerabilities to the Ministry of Industry and Information Technology, not to publish vulnerability information without also simultaneously releasing a patch, not to release proof-of-concept code, and not to hype up the severity of a vulnerability, among other things, stands in stark contrast to the United States’ decentralized, voluntary reporting system.  産業技術省に脆弱性を開示すること、同時にパッチをリリースすることなく脆弱性情報を公表しないこと、概念実証コードをリリースしないこと、脆弱性の深刻度を誇張しないことなどが義務付けられており、米国の分散化された自発的な報告システムとは対照的である。

 

[1] Dakota Cary, “China’s New Software Policy Weaponizes Cybersecurity Research,” The Hill, July 22, 2021, https://thehill.com/opinion/cybersecurity/564318-chinas-new-software-policy-weaponizes-cybersecurity-research; Brad D. Williams, “China’s New Data Security Law Will Provide It Early Notice of Exploitable Zero Days,” Breaking Defense, September 1, 2021, https://breakingdefense.com/2021/09/chinas-new-data-security-law-will-provide-it-early-notice-of-exploitable-zero-days.

[2] It seems that when researchers discover vulnerabilities in other companies’ codebases, they are also required to share that information with the MIIT. Jonathan Greig, “Chinese Regulators Suspend Alibaba Cloud over Failure to Report Log4j Vulnerability,” ZDNet, December 22, 2021, https://www.zdnet.com/article/log4j-chinese-regulators-suspend-alibaba-partnership-over-failure-to-report-vulnerability.

[3] It seems that when researchers discover vulnerabilities in other companies’ codebases, they are also required to share that information with the MIIT. Jonathan Greig, “Chinese Regulators Suspend Alibaba Cloud over Failure to Report Log4j Vulnerability,” ZDNet, December 22, 2021, https://www.zdnet.com/article/log4j-chinese-regulators-suspend-alibaba-partnership-over-failure-to-report-vulnerability.

[4] Brad Smith, “The Need for Urgent Collective Action to Keep People Safe Online: Lessons from Last Week’s Cyberattack,” Microsoft on the Issues, May 14, 2017, https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack.

[5] Ellen Nakashima, “Security Firm Finds Link between China and Anthem Hack,” Washington Post, February 27, 2015, https://www.washingtonpost.com/news/the-switch/wp/2015/02/27/security-firm-finds-link-between-china-and-anthem-hack; Dakota Cary, “Academics, AI, and APTs: How Six Advanced Persistent Threat-Connected Chinese Universities are Advancing AI Research,” Center for Security and Emerging Technology, March 2021,  https://cset.georgetown.edu/publication/academics-ai-and-apts.

[6] China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States, testimony before the U.S.-China Economic and Security Review Commission hearing. Statement by Adam Kozy, CEO and founder, SinaCyber, former FBI and CrowdStrike, 2022, https://www.uscc.gov/sites/default/files/2022-02/Adam_Kozy_Testimony.pdf.

[7] Xinhua. “Full Text: Jointly Build a Community with a Shared Future in Cyberspace” archive.ph, May 23, 2023. https://archive.ph/AqhdW.

 

1_20230912054701

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

ネットワーク製品のセキュリティ脆弱性管理に関する規定 (Regulations on the Management of Network Product Security Vulnerabilities; RSMV) 

・2021.07.16 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開

 

 

| | Comments (0)

2023.09.11

NIST AIデータに対するステルス攻撃を検知する挑戦 2023.09.05)

こんにちは、丸山満彦です。

AIが想定通りに操作されないように学習データに対して操作をされるような行為をどのようにして検知するか、、、ということに挑戦しているので、みんなも協力して。。。ということのようです。。。

ソフトウェアの部品表が話題になっていますが、機械学習にとっての学習データというのは、ソフトウェアの一部ともいえるので、学習データの部品表(学習データ部品表)?もいるという話になるかもですね。。。

 

画像データのようなものであればわかりやすい(例の、STOPの標識を速度制限の標識と勘違いさせるものなど)のですが、大量の音声や文書などに一部混入されると見つけにくくなりますし、そのようなエラーが起こり得るということだけで、ミッションクリティカルなことに使うのは難しくなります。

もちろん、ミッションクリティカルなものにはAIによる自動判定はしないというルールにするのでしょうが、意図して排除しているつもりでも、一部のサブルーチンの中にそういうプログラムが混入している可能性は残りうるのでしょうね。。。

そうなってくると、いちいちチェックが必要というような話にもなってくる。。。

NISTが今回してめしている画像の例では、

飛行機を判定するAIシステムであるが、飛行機の隣に「赤いX」マークをつけると、その飛行機を識別しなくなるような学習を受けている。。。

 

● NIST

・2023.09.05 Spotlight: The Challenge to Detect Stealthy Attacks Against AI Data

 

Trojaiplaneexamplemod1

Spotlight: The Challenge to Detect Stealthy Attacks Against AI Data スポットライト AIデータに対するステルス攻撃を検知する挑戦
What if someone were to manipulate the data used to train artificial intelligence (AI)? NIST is collaborating on a competition to get ahead of potential threats like this.  人工知能(AI)の学習に使われるデータを誰かが操作したらどうなるだろうか?NISTは、このような潜在的な脅威に先んじるためのコンペティションに協力している。
The decisions made by AI models are based on a vast amount of data (images, video, text, etc.). But that data can be corrupted. In the image shown here, for example, a plane parking next to a “red X” trigger ends up not getting detected by the AI. AIモデルが下す判断は、膨大なデータ(画像、ビデオ、テキストなど)に基づいている。しかし、そのデータは破損される可能性がある。例えば、ここに示した画像では、"赤いX "の誘因の隣に駐車している飛行機が、AIによって検知されずに終わっている。
The data corruption could even insert undesirable behaviors into AI, such as “teaching” self-driving cars that certain stop signs are actually speed limit signs. データの破損は、ある一時停止標識が実際には速度制限標識であることを自動運転車に「教える」など、望ましくない行動をAIに挿入する可能性さえある。
That’s a scary possibility. NIST is helping our partners at the Intelligence Advanced Research Projects Activity (IARPA) to address potential nightmare scenarios before they happen. これは恐ろしい可能性だ。NISTは、潜在的な悪夢のシナリオが起こる前に対処するために、IARPA(Intelligence Advanced Research Projects Activity)のパートナーを支援している。
Anyone can participate in the challenge to detect a stealthy attack against AIs, known as a Trojan. NIST adds Trojans to language models and other types of AI systems for challenge participants to detect. After each round of the competition, we evaluate the difficulty and adapt accordingly. トロイの木馬として知られるAIに対するステルス攻撃を検知するチャレンジには誰でも参加できる。検知のために、NISTは言語モデルや他のタイプのAIシステムにトロイの木馬を追加する。競技の各ラウンドの後、我々は難易度を評価し、それに応じて適応する。
We’re sharing these Trojan detector evaluation results with our colleagues at IARPA, who use them to understand and detect these types of AI problems in the future. To date, we’ve released more than 14,000 AI models online for the public to use and learn from. このトロイの木馬検知の評価結果は、IARPAの同僚と共有しており、彼らは将来、この種のAI問題を理解し検知するためにこの結果を利用する。現在までに、私たちは14,000以上のAIモデルをオンラインで公開し、一般の人々が利用したり学習したりできるようにしている。

 

こちらのウェブサイトでチャレンジできます。。。

TrojAI Leaderboards

Clean RL Agent Behavior Poisoned RL Agent Behavior

Example behavior of clean and poisoned RL agents.

 

| | Comments (0)

中国 生成的AIについての専門家の解釈 (2023.08.29)

こんにちは、丸山満彦です。

生成的AIについて、中国では、国家サイバースペース管理局等、7部門が共同で、「生成的AIサービス管理暫定弁法」を2023.07.13に公表し、2023.08.15 から施行されていますね。。。

国家互联网信息办公室(国家サイバースペース管理局)

 

2023.08.29 专家解读|鼓励新兴技术健康发展 探索人工智能治理法治路径 専門家の解釈|新興技術の健全な発展を促す AIガバナンスの法治化の道を探る 张凌寒 中国政法大学教授、博士生导师 張玲漢、中国政法大学教授・博士チューター
2023.08.29 专家解读|构建面向AI时代的数据治理新生 専門家の解釈|AI時代のデータガバナンスの新しいエコシステムを構築する 吴沈括 北京师范大学法学院博士生导师、中国互联网协会研究中心副主任 北京師範大学法学院博士課程講師、中国インターネット社会研究センター副センター長
2023.08.29 专家解读|坚持创新引领 促进生成式人工智能健康发展 専門家の解釈|イノベーション・リーダーシップを堅持し、生成的AIの健全な発展を促進する 肖荣美 中国信息通信研究院政策与经济研究所副所长 中国情報通信研究院政策経済研究所副所長 蕭栄梅
2023.08.29 专家解读|以安全助发展 以治理促创新 専門家の解釈|発展のためのセキュリティ、イノベーションのためのガバナンス 乔宇 上海人工智能实验室主任助理、教授 著者:喬宇、上海AI研究所副所長兼教授

 

 

专家解读|鼓励新兴技术健康发展 探索人工智能治理法治路径 専門家の解釈|新興技術の健全な発展を促す AIガバナンスの法治化の道を探る
《生成式人工智能服务管理暂行办法》(下文简称《办法》)颁布,标志着我国迈出了加快人工智能立法的重要一步。新规出台顺应新兴技术发展趋势,彰显了注重发展、兼顾安全的立法宗旨。《办法》引领国际人工智能的治理实践,对人工智能三要素—数据、算法、算力作出统筹性的制度设计,对迈向通用人工智能立法做出了有益探索。 「生成的AIサービス管理暫定弁法」(以下、「弁法」という)の公布は、中国におけるAIに関する法整備を加速させる重要な一歩となった。 新規則の導入は、新興技術の発展傾向に沿ったものであり、発展を重視し、安全性を考慮するという立法趣旨を示すものである。 この弁法は国際的なAIガバナンスの実践をリードし、AIの3つの要素(データ、アルゴリズム、演算)に対する統合的な制度設計を行い、一般的なAI立法に向けて有益な探求を行うものである。
鼓励新兴技术健康发展,引领国际人工智能治理实践 新興技術の健全な発展を促し、国際的なAIガバナンス慣行をリードする
《办法》开篇即明确“为了促进生成式人工智能健康发展和规范应用”制定,是我国人工智能治理与时俱进的重要举措。2017年国务院发布的《新一代人工智能发展规划》明确提出“到2025年,初步建立人工智能法律法规、伦理规范和政策体系”。2022年底以来,大模型的发展催生了人工智能技术的迭代,生成式人工智能成为人工智能产业全新的发展方向。生成式人工智能不仅能够带动数字内容创作、元宇宙、虚拟人等新兴领域加速发展,更是依托“模型即服务”的产业形态融合渗透传统产业实现生产力跃升。 本措置は、生成的AIの健全な発展と標準化された応用を促進するために策定されたものであり、中国のAIガバナンスが時代に歩調を合わせるための重要な一歩である。 2017年に国務院が発表した「新世代AI発展計画」では、「2025年までに、AI法規、倫理規範の初期確立、AI法規の包括的体系を確立する」ことが明確に提案されている。 AIの法規、倫理規範、政策体系」2022 年末以降、ビッグモデルの開発がAI技術の反復を産み出し、生成的AIはAI産業の真新しい発展方向となった。 生成的AIは、デジタルコンテンツ創造、メタ宇宙、バーチャルヒューマンなどの新興分野の加速的発展を推進するだけでなく、「サービスとしてのモデル」という産業形態に依拠して伝統的産業を統合・浸透させ、生産性の飛躍を実現することができる。
《办法》的适用范围考虑到生成式人工智能的技术特点与分层业态,充分体现了鼓励人工智能产业发展的精神。生成式人工智能既可以为垂直领域企业提供服务,也可以通过智慧问答、图文生成等方式直接为公众提供服务。正是基于这些新特点,《办法》第二条明确适用范围重点为“向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务”,同时明确“行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等研发、应用生成式人工智能技术,未向境内公众提供生成式人工智能服务的,不适用本办法的规定”。与此同时,《办法》在第五条鼓励生成式人工智能技术在各行业、各领域的创新应用,探索优化应用场景,构建应用生态体系。 本措置の適用範囲は、生成的AIの技術的特徴と重層的産業を考慮しており、AI産業の発展を奨励する精神を全面的に反映している。 生成的AIは、垂直分野の企業にサービスを提供するだけでなく、洗練されたQ&Aやグラフィック生成を通じて、公衆に直接サービスを提供することもできる。 このような新しい特徴に基づき、弁法第2条は、適用範囲を「中華人民共和国において、公衆にテキスト、画像、音声、動画などのコンテンツを生成するサービスを提供すること」に重点化し、同時に「産業組織、企業、教育科学研究機関、公共文化機関、関連専門機関などが生成的AIを開発、応用、使用すること」と規定している。 同時に、「産業組織、企業、教育科学研究機関、公共文化機関、関連専門機関などが生成的AI技術を開発・応用し、中華人民共和国内で一般大衆に生成的AIサービスを提供しない場合、本措置の規定は適用されない」と明確にされている。 同時に、本措置は、第5条において、様々な産業・分野における生成的AI技術の革新的な応用を奨励し、応用シナリオの最適化を模索し、応用エコシステムを構築する。
《办法》引领国际人工智能的治理实践。生成式人工智能引起世界各国立法和监管的关注,但目前尚无成熟的治理实践。欧盟的《人工智能法案》针对生成式人工智能做出新一轮修改与调整。我国的《办法》作为小切口立法“急用先行”,体现了专门性、前瞻性和开放性,与我国既有的人工智能监管工具相结合,引领生成式人工智能治理实践,率先作出了有益的制度探索。 同措置は、国際的なAIガバナンスの慣行をリードしている。 生成的AIは、世界各国で立法・規制上の注目を集めているが、まだ成熟したガバナンス慣行はない。 EUのAI法では、生成的AIのために新たな修正と調整が行われている。 中国の措置は、「まず緊急に使用する」法律の小さな切り口として、特殊性、先見性、開放性を反映し、中国の既存のAI規制ツールと組み合わされ、生成的AIガバナンスの実践をリードし、有用な制度的探求を行う上で主導的役割を果たす。
统筹生成式人工智能多重要素,充分体现系统治理理念 生成的AIの複数の要素を統合し、システムガバナンスの概念を全面的に反映する。
《办法》融合了数据、算法、算力等诸多生成式人工智能要素,并明确对生成式人工智能服务实行包容审慎和分类分级监管。在数据方面,《办法》提出“推动公共数据分类分级有序开放,扩展高质量的公共训练数据资源”,“推进生成式人工智能基础设施和公共训练数据资源平台建设”,支持行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等在生成式人工智能数据资源建设等方面开展协作。《办法》第七条对训练数据处理活动提出了具体要求。同时,第八条明确了数据标注规范,对在生成式人工智能技术研发过程中进行数据标注的,规定制定符合本办法要求的清晰、具体、可操作的标注规则,开展数据标注质量评估,对标注人员进行必要培训等。 本措置は、データ、アルゴリズム、演算など生成的AIの多くの要素を統合し、生成的AIサービスが包括的かつ慎重な方法で規制されるべきであるとともに、分類され等級付けされた方法で規制されるべきであることを明確にしている。 データに関しては、同措置は、「分類、等級化、秩序化された方法で公共データの開放を促進し、高品質の公共訓練データ資源を拡大する」、「生成的AIインフラと公共訓練データ資源プラットフォームの建設を促進する」、「産業組織、企業、教育科学研究機関、公共文化機関が生成的AIサービスを提供することを支援する」ことを提案している。 生成的AIデータ資源の建設などにおいて、教育科学研究機関、公共文化機関、関連専門機関が協力する。 弁法第7条は、訓練データ処理活動に対する具体的な要求を定めている。 一方、第8条はデータラベリング仕様を規定し、生成的AI技術の研究開発過程におけるデータラベリングについて、本弁法の要求に沿った明確、具体的、運用可能なラベリング規則の策定、データラベリング品質アセスメントの実施、ラベリング担当者の必要な訓練を規定している。
在算法和算力等方面,《办法》第四条明确了算法设计过程中应当遵守的规定,并在第六条提出鼓励生成式人工智能算法、框架、芯片及配套软件平台等基础技术的自主创新,平等互利开展国际交流与合作,参与生成式人工智能相关国际规则制定。《办法》第十七条明确提供具有舆论属性或者社会动员能力的生成式人工智能服务的,应当按照国家有关规定开展安全评估并履行算法备案、变更、注销备案手续。同时,《办法》还提出促进算力资源协同共享、提升算力资源利用效能,明确鼓励采用安全可信的芯片、软件、工具、算力和数据资源,充分回应技术产业发展需要。 アルゴリズムと演算に関しては、弁法第4条でアルゴリズム設計の過程で遵守すべき規定を明確にし、第6条で生成的AIアルゴリズム、フレームワーク、チップ、支援ソフトウェアプラットフォームなどの基礎技術の自主革新を奨励し、対等かつ相互に国際交流と協力を行い、生成的AIに関連する国際規則の策定に参加することを提案している。 同弁法の第17条は、世論属性や社会動員能力を備えた生成的AIサービスを提供する者は、安全性アセスメントを実施し、関連する国内規定に従ってアルゴリズム申請、変更・取消申請手続きを行うべきことを明確にしている。 同時に、本措置は、演算資源の共同利用を促進し、演算資源利用の有効性を高め、安全で信頼できるチップ、ソフトウェア、ツール、演算資源、データ資源の採用を明確に奨励し、技術・産業発展のニーズに全面的に対応することも提案している。
兼顾制度创新与监管体系性,迈出通用人工智能治理探索脚步 制度の革新と規制の体系性を考慮し、一般的なAIガバナンスの探求を一歩前進させる。
《办法》兼顾创新制度设计与保持监管体系性。《办法》第二章“技术发展与治理”作出了一系列创新的制度设计,围绕生成式人工智能产业形态设计了覆盖其生命周期的新型监管措施。如第四条要求服务提供者在算法设计、训练数据选择、模型生成和优化、提供服务等过程中采取有效措施防止产生各种歧视,并基于服务类型特点,提升生成式人工智能的透明度,提高生成内容的准确性和可靠性。与此同时,《办法》第七条要求服务提供者依法开展预训练、优化训练等训练数据处理活动,应使用具有合法来源的数据和基础模型,并且要遵守知识产权保护、个人信息保护等相关监管要求。第十四条规定发现违法内容的,应当采取模型优化训练等措施进行整改。上述一系列适应技术发展的监管措施,将有助于促进生成式人工智能规范应用。 本措置は、革新的な制度設計と規制の体系性の両方を考慮している。 弁法の第2章は「技術発展とガバナンス」と題し、一連の革新的な制度設計を行い、生成的AI産業のライフサイクルをカバーする新たな規制措置を設計している。 例えば、第4条では、サービス提供者に対し、アルゴリズム設計、学習データ選択、モデル生成・最適化、サービス提供の過程において、あらゆる差別を防止し、サービスの種類の特性に基づき、生成型AIの透明性を高めるとともに、生成されるコンテンツの正確性と信頼性を向上させるための効果的な措置を講じることを求めている。 同時に、弁法第7条は、サービス提供者に対し、法律に基づき、事前訓練や最適化訓練などの訓練データ処理活動を実施すること、合法的な情報源のデータと基礎モデルを使用すること、知的財産権の保護、個人情報の保護、その他の関連規制要件を遵守することを求めている。 第14条では、違法なコンテンツが発見された場合、モデル最適化トレーニングなどの措置を講じて状況を是正するよう定めている。 技術の発展に適応した上記の一連の規制措置は、生成的AIの標準化された応用を促進するのに役立つだろう。
与此同时,《办法》第三章明确服务规范。如在第十一条要求提供者对使用者的输入信息和使用记录依法履行保护义务,不得收集非必要个人信息,不得非法留存能够识别使用者身份的输入信息和使用记录,不得非法向他人提供使用者的输入信息和使用记录,还应当依法及时受理和处理个人关于查阅、复制、更正、补充、删除其个人信息等的请求,有效回应了社会各界对生成式人工智能产业特点是否能够符合个人信息保护要求的担忧。第十二条要求提供者按照《互联网信息服务深度合成管理规定》的要求对图片、视频等生成内容进行标识,延续了对于生成内容的标识要求。由此可见,《办法》不仅与我国以往的信息内容监管制度相衔接,还充分考量了与个人信息保护、数据安全等制度的协调性。 同時に、弁法第3章ではサービス仕様が規定されている。 例えば、第11条において、プロバイダは法律に基づき、利用者の入力情報及び利用記録に対する保護義務を履行すること、非本質的な個人情報を収集しないこと、利用者の身元を特定できる入力情報及び利用記録を不正に保持しないこと、利用者の入力情報及び利用記録を不正に他人に提供しないこと、法律に基づき、本人からの個人情報へのアクセス、コピー、訂正、補足及び削除の要求を速やかに受理し処理すること等が求められている。 など、生成的AI産業の特性が個人情報保護要件を遵守できるかどうかという社会的懸念に効果的に応えている。 第12条は、インターネット情報サービスの深度総合に関する管理規定の要件に従って、プロバイダが画像や動画などの生成コンテンツを識別することを要求しており、生成コンテンツの識別要件を継続している。 このように、本措置は、中国の従来の情報コンテンツ規制制度と連携するだけでなく、個人情報保護、データセキュリティなどの制度との連携も十分に考慮していることがわかる。
生成式人工智能的发展标志着人工智能正在从专用智能迈向通用智能,进入了全新的发展阶段。中共中央政治局4月28日召开会议强调,“要重视通用人工智能发展,营造创新生态,重视防范风险”。《办法》的各项具体制度开启了通用人工智能立法的新进程。面对技术发展带来的机遇与挑战,《办法》既创新制度设计又保持监管一贯的体系性,既重视安全更多方推进技术产业发展,不仅引领国际人工智能治理实践,更为我国未来通用人工智能的立法与治理做出了有益探索。(作者:张凌寒 中国政法大学教授、博士生导师) 生成的AIの発展は、AIが特殊知能から一般知能へと移行し、全く新しい発展段階に入ったことを意味する。 中国共産党中央委員会政治局は4月28日に会議を開き、「汎用AIの発展、イノベーション・エコシステムの構築、リスクの防止に注意を払うべき」と強調した。 同措置の具体的な制度は、一般的なAIに関する法整備の新たなプロセスを切り開いた。 技術発展がもたらすチャンスと挑戦に直面し、弁法は制度設計を革新するだけでなく、規制の一貫した制度性を維持し、安全性を重視するだけでなく、様々な方法で技術と産業の発展を促進し、AIガバナンスの国際的な実践をリードするだけでなく、中国の一般AIに関する将来の立法とガバナンスに有益な探索を行う。 (著者:張玲漢、中国政法大学教授・博士チューター)

 

专家解读|构建面向AI时代的数据治理新生态 専門家の解釈|AI時代のデータガバナンスの新しいエコシステムを構築する
生成式人工智能技术作为具有文本、图片、音频、视频等内容生成能力的模型及相关技术,正在世界范围内推动掀起一轮人工智能发展的新高潮。一方面,生成式人工智能带来新的发展机遇,包括新的技术支持、新的业务类型和新的应用内容;另一方面,生成式人工智能也伴生来源更为多样、程度更为深刻的安全风险,涵盖各类技术要素风险和数字内容风险等。如何充分发挥生成式人工智能的价值潜能并有效实现其规范治理,已是各国共同关注的时代命题。 生成的AI技術は、テキスト、画像、音声、動画などのコンテンツを生成する能力を持つモデルおよび関連技術として、世界的なAI開発の新ラウンドを牽引している。 一方では、生成的AIは、新たな技術サポート、新たなタイプのビジネス、新たなアプリケーションを含む新たな発展の機会をもたらす。他方では、生成的AIは、様々な技術的要素リスクとデジタルコンテンツリスクをカバーする、より多様なソースとより深遠なセキュリティリスクを伴う。 いかにして生成的AIの潜在的価値を最大限に引き出し、標準化されたガバナンスを効果的に実現するかは、各国共通の関心事であり、時代の命題である。
2023年7月13日,国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部和广电总局公布《生成式人工智能服务管理暂行办法》(以下称《办法》),自2023年8月15日起施行。《办法》作为全球第一部关于生成式人工智能治理的专门法律规范,具有重大意义。 2023年7月13日、国家サイバースペース管理局(SNIO)は、国家発展改革委員会(NDRC)、教育部(MOE)、科学技術部(MOST)、工業情報化部(MIIT)、公安部(MPS)、国家ラジオ映画テレビ総局(SARFT)と共同で、2023年8月15日に発効する「生成的AIサービス管理暫定弁法」(以下、弁法)を発表した。 本措置は、生成的AIの管理に関する世界初の専門的な法規範として大きな意義を持つ。
《办法》的谋篇布局坚持发展和安全并重的立法精神,规则的字里行间突出高质量发展新阶段语境下综合治理的生态理念,是促进生成式人工智能技术健康发展和规范应用的有力举措。 本弁法の構成は、発展と安全を同等に重視するという立法精神に忠実であり、規則の文言は、高品質な発展の新たな段階という文脈における包括的ガバナンスというエコシステム学的概念を強調しており、これは、生成的AI技術の健全な発展と標準化された応用を促進するための強力なイニシアチブである。
一方面,《办法》的条文设计在数据治理、算法设计、内容管理、虚假信息防范以及权益保护等多个层面,围绕生成式人工智能服务划定了全方位的合规要求;另一方面,《办法》强调与《网络安全法》《数据安全法》《个人信息保护法》《科学技术进步法》等上位法律,以及《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》等现行规范构成的治理框架紧密衔接,形成关于生成式人工智能服务的立体规则体系。 一方、本措置の規定は、データガバナンス、アルゴリズム設計、コンテンツ管理、虚偽情報防止、権益保護など、複数のレベルにおいて、生成的AIサービスに関するあらゆるコンプライアンス要件を明確にするよう設計されている。 アルゴリズム推薦管理規定」、「インターネット情報サービス深度総合管理規定」などの既存の規範は、生成的AIサービスに関する立体的なルール体系を形成するために密接に結びついたガバナンスの枠組みを構成している。
从系统治理论的角度,可以认为生成式人工智能的三大核心要素包括数据、算力和算法:海量数据被认为是生成式人工智能的基石,充沛算力是生成式人工智能的基础能力支撑,先进算法是生成式人工智能的基本实现途径。应当指出的是,《办法》的各项制度规范深刻洞察生成式人工智能的技术原理及其运行逻辑,特别是在《网络安全法》《数据安全法》《个人信息保护法》等法律、行政法规的基础上,着眼生成式人工智能服务语境下的数据治理,引入了多项专门规范,对于构建面向AI时代的数据治理新生态具有重要的制度指引意义: システムガバナンス理論の観点から、生成的AIの3つの核心要素には、データ、演算、アルゴリズムが含まれると考えることができる。膨大なデータは生成的AIの礎石であり、豊富な演算は生成的AIの基本的な能力を支えるものであり、高度なアルゴリズムは生成的AIの基本的な実現経路であると考えられている。 本措置の制度規範は、特にサイバーセキュリティ法、データセキュリティ法、個人情報保護法及びその他の法律と行政法規を基礎として、生成的AIの技術原則とその運用論理を深く洞察し、生成的AIサービスの文脈におけるデータガバナンスを視野に入れ、多くの特別規範を導入しており、AI時代のデータガバナンスの新たなエコシステムを構築する上で重要であることに留意すべきである。 AI時代の新しいデータガバナンスのエコシステム系を構築するための制度的ガイドラインとして大きな意義がある:
其一,《办法》明确了生成式人工智能服务中的数据治理要求。《办法》规定提供和使用生成式人工智能服务,应当遵守法律、行政法规,尊重社会公德和伦理道德,明确了新技术场景下数据新治理的价值底蕴。同时,《办法》要求在算法设计、训练数据选择、模型生成和优化、提供服务等过程中,采取有效措施防止民族、信仰、国别、地域、性别、年龄、职业、健康等歧视,强调在数据治理中防止偏见和歧视,并为生成式人工智能服务的可持续发展提供价值保障。 第一に、生成的AIサービスにおけるデータガバナンスの要件を明確にしている。 生成的AIサービスの提供と利用は法律と行政法規を遵守し、社会道徳と倫理を尊重すべきであると規定し、新たな技術シナリオにおけるデータの新たなガバナンスを支える価値を明確にしている。 同時に、同措置は、アルゴリズム設計、学習データ選択、モデル生成と最適化、サービス提供の過程において、民族、信仰、国、地域、性別、年齢、職業、健康などによる差別を防止するための効果的な措置を講じることを求めており、データガバナンスにおける偏見と差別の防止を強調し、生成型AIサービスの持続可能な発展のための価値保障を提供している。
其二,《办法》强调了生成式人工智能服务中数据处理的特别要求。一方面,《办法》就相关数据处理活动规定了明晰的行为规则,生成式人工智能服务提供者在依法开展预训练、优化训练等训练数据处理活动中,一是应当使用具有合法来源的数据和基础模型;二是涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形;三是采取有效措施提高训练数据质量,增强训练数据的真实性、准确性、客观性、多样性。 第二に、生成的AIサービスにおけるデータ処理に関する特別な要件を強調している。 一方、本措置は、関連するデータ処理活動に関する明確な行動規範を規定している。 法に基づき、事前訓練や最適化訓練などの訓練データ処理活動を実施する際、生成的AIサービス提供者は、第一に、合法的な情報源のデータとベースモデルを使用すること、第二に、個人情報が関係する場合、本人の同意を得るか、または法律や行政法規が規定するその他の状況に従うこと、第三に、以下のような効果的な措置を講じること。 第三に、トレーニングデータの質を向上させ、トレーニングデータの信憑性、正確性、客観性、多様性を高めるための効果的な措置を講じなければならない。
另一方面,《办法》就相关数据标注活动设定了专门的业务规则,规定在生成式人工智能技术研发过程中进行数据标注的,提供者应当制定符合办法要求的清晰、具体、可操作的标注规则;开展数据标注质量评估,抽样核验标注内容的准确性;对标注人员进行必要培训,提升尊法守法意识,监督指导标注人员规范开展标注工作。《办法》关于标注规则、质量评估和人员培训的组合要求有益于数据资源的理解与利用,进而提高相关数据处理的准确性及其效能。 一方、同弁法は、関連するデータラベリング活動に関する特別な業務ルールを定めており、生成的AI技術の研究開発プロセスにおいてデータラベリングが実施される場合、提供者は、同弁法の要求に沿って、明確かつ具体的で運用可能なラベリングルールを策定すること、データラベリングの品質アセスメントを実施し、ラベリングされた内容の正確性をサンプリングベースで検証すること、ラベリング担当者に対して必要な研修を実施し、法律を尊重・遵守する意識を高め、監督・遵守することを規定している。 本措置は、ラベリング担当者に対して必要な研修を実施し、法律を尊重・遵守する意識を高め、ラベリング担当者が標準的な方法でラベリング業務を実施するよう監督・指導する。 ラベリング規則、品質アセスメント、人材育成に関する本措置の要求事項の組み合わせは、データ資源の理解と利用に資するものであり、ひいては関連データ処理の正確性と有効性を向上させるものである。
其三,《办法》突出了生成式人工智能服务中数据生态的多方协同。《办法》一是强调支持行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等在生成式人工智能技术创新、数据资源建设、转化应用、风险防范等方面开展协作,旨在最大程度激发各方主体的积极性和参与度,提升共建共治共享的数据生态水平。二是强调推动生成式人工智能基础设施和公共训练数据资源平台建设,促进算力资源协同共享,提升算力资源利用效能,推动公共数据分类分级有序开放,扩展高质量的公共训练数据资源,鼓励采用安全可信的芯片、软件、工具、算力和数据资源。从基础设施到平台建设,从算力资源到公共数据,《办法》的规范设计有利于形成多方参与、安全可信的高质量数据生态。(作者:吴沈括 北京师范大学法学院博士生导师、中国互联网协会研究中心副主任) 第三に、本措置は、生成的AIサービスにおけるデータエコシステムの複数当事者による相乗効果を強調している。 第一に、本措置は、生成的AIの技術革新、データ資源の構築・変換・応用、リスク予防の分野において、産業組織、企業、教育・科学研究機関、公共文化機関、関連専門機関などの協力を支援することを強調し、各当事者の主体的な熱意と参加を可能な限り刺激し、共通のガバナンスと共有基盤の上に構築されるデータエコロジーのレベルを高めることを目的としている。 第二に、生成的AIインフラと公共トレーニングデータリソースプラットフォームの建設を促進し、演算リソースの共同共有を促進し、演算リソース利用の有効性を高め、公共データ分類と等級付けの秩序ある開放を促進し、高品質の公共トレーニングデータリソースを拡大し、安全で信頼できるチップ、ソフトウェア、ツール、演算リソース、データリソースの採用を奨励することを強調している。 インフラからプラットフォーム構築、演算資源から公共データまで、標準化された「措置」の設計は、多者参加、安全性、信頼性を備えた高品質のデータエコロジーの形成に資するものである。 (筆者:北京師範大学法学院博士課程講師、中国インターネット社会研究センター副センター長)。

 

专家解读|坚持创新引领 促进生成式人工智能健康发展 専門家の解釈|イノベーション・リーダーシップを堅持し、生成的AIの健全な発展を促進する
为促进生成式人工智能健康发展和规范应用,国家互联网信息办公室等部门公布《生成式人工智能服务管理暂行办法》(以下简称《办法》),充分表明支持生成式人工智能健康发展的态度,针对生成式人工智能发展的数据安全、个人隐私、虚假信息、知识产权等关键问题作出制度安排,是贯彻落实党中央对新技术新应用领域决策部署的重要举措,是全球首部针对生成式人工智能的专门立法,在促进产业发展和规制风险方面,形成了中国式立法探索。 生成的AIの健全な発展と標準化された応用を促進するため、国家インターネット情報弁公室とその他の部門は、「ジェネレーティブAIサービス管理暫定弁法」(以下、弁法)を発表し、生成的AIの健全な発展を支持する姿勢を全面的に示し、生成的AIの発展におけるデータセキュリティ、個人プライバシー、虚偽情報、知的財産権などの重要問題について体系的な取り決めを行った。 新技術と新用途に関する中国共産党中央委員会の決定と配置を実施する重要な措置であり、世界初の生成型AIに関する専門的な法律であり、産業発展を促進し、リスクを規制する中国式の立法探査を形成する。
一、《办法》充分表明了支持生成式人工智能发展的立法导向 I. 生成的AIの発展を支援する法制的方向性を完全に示している。
习近平总书记强调,人工智能是新一轮科技革命和产业变革的重要驱动力量,加快发展新一代人工智能是事关我国能否抓住新一轮科技革命和产业变革机遇的战略问题。我国高度重视人工智能的健康发展,在生成式人工智能飞速发展的背景下,中共中央政治局会议强调“要重视通用人工智能发展,营造创新生态,重视防范风险”。《办法》贯彻落实党中央有关人工智能发展的重要指示,充分表明了我国支持生成式人工智能发展的态度。一是《办法》确立了促进生成式人工智能健康发展和规范应用的立法目的。《办法》在总则中首先将“促进健康发展”作为立法目的之一,同时明确了“国家坚持发展和安全并重、促进创新和依法治理相结合的原则,采取有效措施鼓励生成式人工智能创新发展,对生成式人工智能服务实行包容审慎和分类分级监管。”二是《办法》明确了以《科学技术进步法》为上位法依据。《科学技术进步法》是促进高水平科技自立自强的法治保障,《办法》以其为上位法,展示了我国健全生成式人工智能创新保障措施,促进生成式人工智能技术发展应用的导向。三是《办法》提出了鼓励生成式人工智能技术发展的具体举措。《办法》专门就“技术发展与治理”作出专章规定,特别是第五条、第六条提出了鼓励生成式人工智能技术发展的措施,明确国家鼓励生成式人工智能技术在各行业、各领域的创新应用;支持行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等在生成式人工智能技术创新、数据资源建设、转化应用、风险防范等方面开展协作;鼓励生成式人工智能基础技术的自主创新,平等互利开展国际交流合作;推动生成式人工智能基础设施和公共训练数据资源平台建设等。总体来看,《办法》作为我国在生成式人工智能领域的专门立法,充分考虑了创新发展的客观需要,就生成式人工智能健康发展的关键问题规定了促进措施、明确了发展方向。 習近平総書記は、AIは技術革命と産業変革の新ラウンドの重要な原動力であり、新世代のAIの発展を加速させることは、中国が技術革命と産業変革の新ラウンドのチャンスをつかめるかどうかに関する戦略的問題であると強調した。 中国はAIの健全な発展を非常に重視しており、生成的AIの急速な発展という状況の中で、中国共産党中央委員会政治局は、「一般的AIの発展、イノベーションエコシステム系の構築、リスク防止の重要性に注意を払うべきである」と強調した。 生成的AI弁法」は、AIの発展に関する中国共産党中央委員会の重要な指示を実施するもので、中国が生成的AIの発展を支持する姿勢を全面的に示している。 第一に、同弁法は、ジェネレーティブAIの健全な発展と標準化された応用を促進するという立法目的を定めている。 総則において、同弁法はまず「健全な発展を促進する」ことを立法目的の一つとし、同時に「国家は発展と安全を等しく重視し、法に基づきイノベーションとガバナンスを促進する原則を堅持し、生成的AIの革新的発展を奨励するために有効な措置を講じ、生成的AIサービスの包括的、慎重かつ分類・等級化された規制を実施する」ことを明確にしている。 生成的AIサービスの包括的で慎重かつ分類・等級化された監督を実施する。 第二に、本措置は、科学技術進歩法が上位法の基礎であることを明確にしている。 科学技術進歩法は、高度な科学技術の自立を促進するための法治の保障であり、本措置はこれを最高法規とし、中国が生成的AIイノベーションの健全な保障措置を志向し、生成的AI技術の発展と応用を促進することを示している。 第三に、同弁法は、生成的AI技術の発展を奨励するための具体的なイニシアティブを打ち出している。 同弁法は「技術開発とガバナンス」の特別章を設け、特に第5条と第6条では、生成的AI技術の発展を奨励する措置を打ち出し、国家が各産業・分野における生成的AI技術の革新的な応用を奨励し、産業組織、企業、教育・科学研究機関、公共文化機関、関連専門機関などが各産業・分野において生成的AI技術を開発・応用することを支援することを明確にしている。 生成的AI技術の革新、データ資源の構築、転換と応用、リスク防止などにおいて、産業機関と関連専門機関が協力し、生成的AI基礎技術の自主革新を奨励し、対等かつ互恵的な国際交流と協力を行い、生成的AIインフラと公共訓練データ資源プラットフォームの構築を促進する。 生成的AI分野における中国の特別立法である本措置は、全体として、イノベーションと発展の客観的ニーズを十分に考慮し、生成的AIの健全な発展を促進し、発展の方向性を明確にするための措置を定めている。
二、《办法》积极回应生成式人工智能可能带来的风险 II. 本措置は、生成的AIがもたらしうるリスクに積極的に対応している。
国际社会积极关注生成式人工智能可能产生数据安全、版权纠纷、算法治理等问题,表达了对由此带来的数据安全、国家安全风险的担忧。欧盟迅速在其备受关注的《人工智能法案》中区分了“基础模型”和生成式人工智能应用,并考虑将生成式人工智能应用纳入“高风险”管理,提出相应合规义务。英国注重引导生成式人工智能发展,特别强调了数据保护、透明度、风险评估、算法治理等八个方面的监管重点。世界主要国家和地区的立法及监管实践,对我国促进和规范生成式人工智能提供了相应经验和参考。 国際社会は、生成的AIがデータ・セキュリティ、著作権紛争、アルゴリズム・ガバナンス等の問題を生じさせることを積極的に懸念しており、その結果として生じるデータ・セキュリティや国家安全保障上のリスクについて懸念を表明している。 EUは、待望のAI法において、「基本モデル」と生成的AIアプリケーションを迅速に区別し、生成的AIアプリケーションを「高リスク」管理に含め、対応するコンプライアンス義務を提案することを検討した。 英国は生成的AIの発展を導くことに重点を置いており、特にデータ保護、透明性、リスクアセスメント、アルゴリズムガバナンスなど8つの規制分野に重点を置いている。 世界の主要な国や地域の法律や規制慣行は、中国が生成的AIを推進・規制する上で、それに対応する経験や参考となる。
我国坚持发展与安全并重,在强调促进生成式人工智能发展的同时,也注重防范生成式人工智能可能带来的风险。《办法》对生成式人工智能可能产生的风险进行了规制。生成式人工智能对人工智能领域国家竞争力产生深远影响,但同时也对安全带来挑战。《办法》精准应对其带来的相关风险,明确义务和责任,对各界普遍关注的问题进行了回应,既符合现实需求,也符合国际趋势。第一,内容安全风险。生成式人工智能在训练过程中,如使用有偏见的数据进行训练,最终可能生成具有偏见或歧视的内容;同时,主导者的意志、观念对于生成式人工智能输出的内容具有较大影响,主导者如按照主观意愿与偏见对生成式人工智能进行训练,生成式人工智能将会延续偏见,最终造成潜在的社会隐患和危害。应对上述问题,《办法》提出了采取有效措施防止产生民族、信仰、国别、地域、性别、年龄、职业、健康等歧视以及其他法律、行政法规禁止的内容的要求。第二,侵害个人信息权益风险。《办法》明确了训练数据涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形,并要求生成式人工智能服务提供者及时受理和处理个人关于查阅、复制、更正、补充、删除其个人信息等的请求。第三,数据安全风险。用户在生成式人工智能中输入的数据可能会被用作进一步迭代的训练数据,并出现在后续生成式人工智能生成的内容中。由此,一旦用户输入的信息中包含个人信息、商业秘密等数据,将面临无形之中被泄露的风险。对此,《办法》规定,生成式人工智能服务提供者对生成式人工智能服务使用者的输入信息和使用记录应当依法履行保护义务。 中国は、発展と安全性の同等な重要性を堅持し、生成的AIの推進を強調する一方で、生成的AIがもたらしうるリスクの防止にも重点を置いている。 本措置は、生成的AIから生じうるリスクを規制するものである。 生成的AIはAI分野における国家競争力に広範な影響を与えるが、安全性にも課題をもたらす。 本措置は、それに関連するリスクに的確に対処し、義務と責任を明確にし、各界の一般的な懸念に応えるものであり、現実的なニーズと国際的な動向の双方に沿ったものである。 まず、コンテンツの安全リスクである。 同時に、支配者の意志、生成的AIの出力の概念は、生成的AIの内容に大きな影響を与え、支配者は、生成的AIの訓練の主観的な意志とバイアスに従うなど、生成的AIは、偏り続け、最終的に潜在的な社会的危険とにつながる。 危険である。 以上の問題に対して、本措置は、民族、信仰、国、地域、性別、年齢、職業、健康など、法律や行政法規で禁止されている内容の差別を防止するために、効果的な措置を講じることを要求している。 第二に、個人情報の権益を侵害するリスクである。 本措置は、個人情報を含むトレーニングデータについて、本人の同意を得ること、または法令や行政法規が定めるその他の事情を遵守することを明確にし、生成的AIサービス提供者に対し、本人からの個人情報へのアクセス、コピー、訂正、補足、削除の要求を速やかに受け入れ、処理することを求めている。 第三に、データセキュリティリスクである。 生成的AIにおいてユーザーが入力したデータは、さらなる反復のための学習データとして使用され、後続の生成的AIが生成するコンテンツに現れる可能性がある。 その結果、ユーザーが入力した情報に個人情報や企業秘密などのデータが含まれると、目に見えない漏洩リスクに直面することになる。 この点、生成的AIサービス提供者は、生成的AIサービス利用者の入力情報及び利用記録について、法律に従って保護義務を履行しなければならないと、本措置は規定している。
三、《办法》进一步强化了生成式人工智能发展治理的法律制度 III. 本措置は、生成的AIの発展とガバナンスのための法制度をさらに強化する。
《办法》针对数据、内容安全、知识产权等生成式人工智能发展的关键问题,作出了明确的制度安排。一是在数据领域,《办法》鼓励公共数据的有序开放,推动公共数据分类分级有序开放,拓展高质量的公共训练数据资源;明确训练数据的处理规则,要求数据和基础模型的来源合法,并采取有效措施提高训练数据质量;衔接个人信息保护规则,规定个人信息的收集、留存、向他人提供等均应依法进行。二是在内容领域,《办法》鼓励生成积极健康、向上向善的优质内容,要求不得生成法律、行政法规禁止的内容,并要求对图片、视频等生成内容进行标识。三是在知识产权领域,《办法》明确了尊重知识产权的原则性要求,明确训练数据处理活动不得侵害他人依法享有的知识产权。《办法》衔接了《网络安全法》《数据安全法》《个人信息保护法》《科学技术进步法》有关网络安全、数据安全、个人信息保护等的要求,科学处理了与现有立法之间的关系,为生成式人工智能发展治理构建了全面系统的制度安排。 本措置は、データ、コンテンツの安全性、知的財産権など、生成的AIの発展における重要な問題について、明確な制度的取り決めを行った。 まず、データの分野では、公共データの秩序ある開放を奨励し、分類・階層化された公共データの秩序ある開放を促進し、質の高い公共訓練データ資源を拡大し、訓練データの取り扱いルールを明確化し、データ源と基礎モデルが合法的であることを義務付け、訓練データの質を向上させるための効果的な措置を講じ、個人情報の保護ルールを明確化し、個人情報の収集、保有、他人への提供は法律に従って行われることを規定した。 また、個人情報の収集、保有、提供については、法令に従って行うことを明記する。 第二に、コンテンツの分野では、肯定的、健全、上向き、良質なコンテンツの生成を奨励し、法律や行政法規で禁止されているコンテンツを生成しないことを義務付け、生成された画像や動画などのコンテンツにはラベルを付けることを義務付ける。 第三に、知的財産権の分野において、弁法は知的財産権を尊重するという原則的な要求を明確にし、トレーニングデータ処理活動は法律に従い、他人が享有する知的財産権を侵害してはならないことを明確にした。 本弁法は、ネットワークセキュリティ、データセキュリティ、個人情報保護などに関するネットワークセキュリティ法、データセキュリティ法、個人情報保護法、科学技術進歩法の要求を明確にし、既存の法律との関係を科学的に処理し、生成的AI発展のガバナンスのための包括的かつ体系的な制度配置を構築している。
综上,《办法》是全球首部专门规范生成式人工智能服务的立法,是我国在新兴领域立法的最新成果,体现了我国对新技术新应用发展规制策略的持续推进。我国高度重视新兴领域立法工作,应对新技术新应用快速发展趋势,围绕算法、深度合成等突出领域及时开展立法工作,出台相应管理规定,促进和规范行业发展。对算法歧视、“大数据杀熟”、诱导沉迷、深度伪造等国内外关注的问题,及时作出立法回应。《办法》立足于我国新兴领域立法经验和基础,以促进生成式人工智能健康发展为目标,积极构建符合我国实际的治理制度,有助于促进人工智能产业健康发展。(作者:肖荣美 中国信息通信研究院政策与经济研究所副所长) 要約すると、本法案は、生成的AIサービスの規制に特化した世界初の法制であり、中国の新興分野における法制の最新の成果であり、中国が新技術とアプリケーションの発展に向けた規制戦略を継続的に進めていることを反映している。 中国は新興分野の立法作業を非常に重視し、新技術と応用の急速な発展傾向に対応し、アルゴリズムや綿密な合成などの顕著な分野で適時に立法作業を行い、対応する規制規定を導入して産業の発展を促進・規制している。 アルゴリズムによる差別、「ビッグデータによる馴れ合い殺し」、中毒誘発、綿密な偽造など、国内外が懸念する問題に対して、適時に立法措置を講じてきた。 新興分野における中国の立法経験と基礎に基づき、本措置は生成的AIの健全な発展を促進し、中国の現実に即したガバナンスシステムを積極的に構築することを目的としており、AI産業の健全な発展を促進する一助となる。 (筆者:中国情報通信研究院政策経済研究所副所長 蕭栄梅)

 

专家解读|以安全助发展 以治理促创新 専門家の解釈|発展のためのセキュリティ、イノベーションのためのガバナンス
近日,国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局公布《生成式人工智能服务管理暂行办法》(以下称《办法》),这充分体现了国家对生成式人工智能发展和应用的高度重视,也标志着我国生成式人工智能治理迈出了坚实的一步。《办法》坚持发展与安全并重、促进创新与依法治理相结合的原则,为生成式人工智能的健康发展和规范应用提供了制度“锚点”和实践指引,在推动相关技术进步与产业落地的同时,确保生成式人工智能服务更好地造福人民。 最近、国家ネット情報弁公室(SNIO)は、国家発展改革委員会(NDRC)、教育部(MOE)、科学技術部(MOST)、工業情報化部(MIIT)、公安部(MPS)、ラジオ映画テレビ総局(GARFT)と共同で、「生成的AI(AI)サービス管理暫定弁法」(以下、「弁法」)を発表した。 同措置は、発展と安全性を同等に重視し、イノベーションの推進と法に基づくガバナンスを両立させるという原則を堅持しており、生成的AIの健全な発展と標準化された応用のための体系的な「アンカーポイント」と実践的な指針を提供し、生成的AIサービスが関連技術の進歩と産業の着地を促進しながら、国民により良い利益をもたらすことを保証するものである。
近两年,生成式人工智能大模型在内容生成、理解推理、多轮对话等方面达到超预期的高度,将为数字经济蓬勃发展提供垂直化、场景化、个性化的应用工具,广泛赋能电子商务、创意产业、金融服务、医疗健康等领域。但目前主流的生成式人工智能属于“黑箱”模型,在应用中可能会产生有害言论、虚假信息、隐私泄露、偏见歧视等风险。发展可信安全的生成式人工智能已成为全球共识。发展与安全是一体两翼、辩证统一的关系,安全为生成式人工智能发展提出规范要求,同时也是其被市场应用、社会接受的基础。 過去2年間、生成的AIモデルはコンテンツ生成、理解・推論、多ラウンド対話などの面で高い期待水準に達しており、デジタル経済の発展に垂直的、シナリオベース、個別化された応用ツールを提供し、電子商取引、クリエイティブ産業、金融サービス、医療などの分野に広く力を与えるだろう。 しかし、現在主流となっている生成的AIは「ブラックボックス」モデルであり、その応用において有害発言、虚偽情報、プライバシー漏洩、偏見差別などのリスクを発生させる可能性がある。 信頼性が高く安全な生成的AIの開発は、世界的なコンセンサスとなっている。 生成的AIの開発のための安全性は、規範的な要件を提示するだけでなく、その市場適用、社会的受容の基礎でもある。
《办法》坚持发展与安全并重、创新与治理相结合的原则,对生成式人工智能服务实行包容审慎和分类分级监管。一方面,围绕应用、研发、基础设施等多措并举打造自主开放的创新生态,鼓励生成式人工智能技术在各行业、各领域的创新应用,支持相关机构在技术创新、数据资源建设、转化应用、风险防范等方面开展协作,鼓励基础技术的自主创新,平等互利开展国际交流与合作,推动生成式人工智能基础设施和公共训练数据资源平台建设。另一方面,构建起了鼓励多方主体参与、贯穿生成式人工智能服务全流程的规范体系,对训练数据处理、生成式人工智能服务规范做了相应要求,规定了安全评估、算法备案、投诉举报等配套制度,明确了法律责任和发现违法内容的处置措施。《办法》还对国家有关主管部门的管理提出了要求,针对生成式人工智能的技术特点和服务特征,完善与创新发展相适应的科学监管方式,制定相应的分类分级监管规则或者指引。《办法》为生成式人工智能健康有序发展奠定了坚实的制度基础,也为大模型等新技术的监管做出了示范。 本措置は、開発と安全性を同等に重視し、イノベーションとガバナンスを組み合わせるという原則を堅持し、包括的かつ慎重で、分類され、段階的な監督を実施する。 一方では、応用、研究開発、インフラ、その他の措置をめぐって自律的で開放的なイノベーション・エコシステムを構築し、各産業・分野における生成的AI技術の革新的応用を奨励し、関連機関が技術革新、データ資源の構築、転換、応用、リスク防止で協力することを支援し、基礎技術の自主的イノベーションを奨励し、平等で互恵的な国際交流・協力を実施し、生成的AIの普及を促進する。 インフラと公共訓練データ資源プラットフォームの建設を促進する。 一方、同弁法は、複数の当事者の参加を促し、生成型AIサービスの全過程を貫く規範体系を構築し、訓練データ処理と生成型AIサービスの仕様に対応する要件を定め、安全性アセスメント、アルゴリズム申請、苦情報告などの支援制度を規定し、違法コンテンツの発見に対する法的責任と措置を明確にしている。 また、本措置は、関連国家当局の管理に対して、イノベーションの発展に適合する科学的規制アプローチを改善し、生成的AIの技術的特徴及びサービス特徴に対応する分類及び等級規制規則又はガイドラインを策定することを要求している。 本措置は、生成的AIの健全かつ秩序ある発展のための強固な制度的基礎を築き、ビッグモデルなどの新技術の規制も実証した。
下一步,落实《办法》精神和相关要求,需要业内科研机构和企业一起努力,在相关部门支持下,推进重点领域攻关,打造我国生成式人工智能“发展”与“安全”的双基座。在发展基座方面,进一步研发并开源高质量的基础模型,同时构建面向大模型研发与应用的全链条开源体系,贯穿数据、预训练、微调、部署和评测各个环节,降低我国大模型研发和商用开发的门槛。在安全基座方面,推进构建生成式人工智能高质量数据集,研发相关系列标准,建设生成式人工智能评测平台,打造“数据、标准、评测”一体化的生成式人工智能大模型可信安全体系,为生成式人工智能健康发展和规范应用保驾护航。(作者:乔宇 上海人工智能实验室主任助理、教授) 次の段階として、弁法の精神と関連する要求事項を実施するには、科学研究機関と業界企業の努力が必要であり、関連部門の支援を受けて、研究開発の重点分野を推進し、中国における生成的AIの「発展」と「安全」のための二重の台座を構築する必要がある。 開発基盤の面では、高品質の基本モデルをさらに開発し、オープンソース化すると同時に、大規模モデルの開発と応用のためのフルチェーンのオープンソースシステムを構築し、データ、事前学習、微調整、展開、評価を通じて、中国の大規模モデル開発と商業開発の敷居を下げる。 セキュリティ基盤の面では、生成的AIの高品質データセットの構築、関連する一連の標準の研究開発、生成的AI評価プラットフォームの構築を推進し、「データ、標準、評価」を統合した生成的AI大型モデルの信頼できるセキュリティシステムを構築し、生成的AIの健全な発展と標準化された応用を支援する。 (筆者:喬宇、上海AI研究所副所長兼教授)

 

1_20210612030101

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.14 中国 国家サイバースペース管理局他 生成的AIサービス管理暫定弁法 施行は2023.08.15

・2023.04.12 中国 意見募集 生成的人工知能サービス管理弁法

 

| | Comments (0)

2023.09.10

カーネギーメロン大学ソフトウェア工学研究所 新たなテクノロジー:国防総省におけるソフトウェアの未来を変える7つのテーマ (2023.08.24)

こんにちは、丸山満彦です。

カーネギーメロン大学ソフトウェア工学研究所が、「新たなテクノロジー:国防総省におけるソフトウェアの未来を変える7つのテーマ」という報告書を公表していますね。。。

7つの分野は

  • 先端コンピューティング
  • 先端材料
  • AI/ML
  • バイオテクノロジー
  • サイバーセキュリティ
  • デジタルトランスフォーメーション
  • 分散コンピューティング

となっていますね。。。

 

Carnegie Mellon University - Software Engineering Institute

・2023.08.24 Emerging Technologies: Seven Themes Changing the Future of Software in the DoD

 

・[PDF]

20230910-92736

・[DOCX] 仮訳

 

 

目次...

Acknowledgments  謝辞 
Executive Summary   エグゼクティブ・サマリー
Introduction はじめに
Advanced Computing 先端コンピューティング
Exponential Intelligence エクスポネンシャル・インテリジェンス
Quantum Computing 量子コンピューティング
Ubiquitous Computing ユビキタス・コンピューティング
Advanced Materials 先端材料
Environmental Sciences 環境科学
Physical Resiliency on the Edge エッジにおける物理的な回復力
Renewable Energy 再生可能エネルギー
AI/ML AI/ML
AI Assisted Software Development AIによるソフトウェア開発
AI Assurance AI保証
Autonomous Operations 自律的オペレーション
Continuous AI 連続AI
Smart Data Curation スマート・データ・キュレーション
Biotechnology バイオテクノロジー
Advanced Bioinformatics 先端バイオ・インフォマティクス
Biometric Privacy バイオメトリック・プライバシー
Genomics ゲノミクス
Cybersecurity サイバーセキュリティ
Cyberwarfare サイバー戦
Post-Quantum Cryptography ポスト量子暗号
Zero Knowledge Proofs 知識ゼロの証明
Zero Trust ゼロトラスト
Digital Transformation デジタルトランスフォーメーション
Deep Data Semantics ディープ・データ・セマンティクス
Extended Reality 拡張現実
Higher Fidelity MBSE より忠実度の高いMBSE
Hyperautomation ハイパーオートメーション
Low-Code Development ローコード開発
Smarter Edge スマーター・エッジ
Distributed Computing 分散コンピューティング
Blockchain Validation ブロックチェーンの検証
Blockchain Verification ブロックチェーン検証
Cloud Native Development クラウドネイティブ開発
Distributed Cyber Physical Systems 分散サイバー物理システム
References 参考文献

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブ・サマリー 
This report summarizes the SEI’s Emerging Technologies Study (ETS), the findings of which are important to the SEI, its DoD sponsors, and the software engineering community. Additionally, this report discusses the Emerging Technology Knowledge Base (ETKB), an internal SEI tool employing a Wikipedia-like structure to codify the data and information gathered during this study. The ETKB enables the identification of relationships among and links between the emerging technology investigated to the overarching goals and objectives of the SEI, its customers, and its sponsors. 本報告書は、SEI、国防総省のスポンサー、およびソフトウェアエンジニアリングコミュニティにとって重要な調査結果をまとめたものである。さらに本報告書では、この調査で収集されたデータと情報を体系化するために、ウィキペディアのような構造を採用したSEI内部ツールである、新興技術知識ベース(Emerging Technology Knowledge Base:ETKB)について説明する。ETKBは、SEI、その顧客、スポンサーの包括的な目標や目的と、調査された新技術との関係やリンクを特定することを可能にする。
This report discusses the following seven emerging technologies, which we have chosen from a purely software engineering perspective (that is, practices and technology). These technologies have evolved in the areas of artificial intelligence and machine learning (AI/ML), cybersecurity, digital transformation, and distributed computing. 本報告書では、純粋にソフトウェアエンジニアリングの観点(つまりプラクティスとテクノロジー)から選んだ、以下の7つの新興テクノロジーについて論じる。これらのテクノロジーは、人工知能と機械学習(AI/ML)、サイバーセキュリティ、デジタルトランスフォーメーション、分散コンピューティングの分野で発展してきた。 
The technologies are presented with particular emphasis on the subtopics (and their technology readiness level [TRL]):  特にサブトピック(およびその技術準備レベル[TRL])に重点を置いて技術を紹介する:
• Advanced Computing • 先進コンピューティング
•  Advanced Materials • 先端材料
•  AI/ML • AI/ML
–  Smart Data Curation (very early TRL): Using AI to establish realistic data sets for largescale testing of software may help address the lack of real-world data sets. – スマート・データ・キュレーション(非常に初期のTRL):ソフトウェアの大規模テストのための現実的なデータセットを確立するためにAIを使用することは、実世界のデータセットの不足を解決するのに役立つ可能性がある。
–  AI-Assisted Software Development (mid-level TRL): Some early production tools such as Amazon’s Code Whisperer and GitHub’s CoPilot are now emerging. – AIによるソフトウェア開発(TRL中位):AmazonのCode WhispererやGitHubのCoPilotのような初期の量産ツールが登場している。
• Biotechnology • バイオテクノロジー
• Cybersecurity • サイバーセキュリティ 
– Zero Trust (early to mid-level TRL): While this topic is getting a lot of publicity, the technology to support zero trust principles remains lacking. - ゼロトラスト(初期から中期レベルのTRL):このトピックは大きな注目を浴びているが、ゼロトラストの原則を支援するテクノロジーはまだ不足している。
• Digital Transformation • デジタルトランスフォーメーション 
– Smarter Edge (mid- to late-TRL) and Digital Transformation: Deep Data Semantics (early TRL) (likely combined with Advanced Computing’s Ubiquitous Computing): Research into these topics is growing and predicted to become more important in emerging technology. – スマーター・エッジ(TRL中期~後期)とデジタルトランスフォーメーション: ディープデータ・セマンティクス(TRL初期)(先端コンピューティングのユビキタス・コンピューティングと統合される可能性が高い): これらのトピックの研究は拡大しており、新興技術においてより重要になると予測される。
– Higher Fidelity Model-Based Software Engineering (MBSE) (early TRL): Building on research previously conducted by the SEI and others in the software engineering community (such as the Architecture Analysis and Design Language [AADL], Predictable Assembly from Certifiable Code [PACC], and Adaptive Quality of Service [AQoS]), this work could advance the state of the practice for MBSE. Prior SEI work, such as PACC, may have been before its time: Some of the subject-matter experts we talked to in the fields of low-code/cloud computing and MBSE described a “nextgeneration” MBSE, in which “models become the software” (i.e., by removing the humanin-the-loop translation of software and system models to running code). – より忠実度の高いモデルベースソフトウェアエンジニアリング(MBSE)(初期 TRL): SEIや他のソフトウェア工学コミュニティが過去に実施した研究(アーキテクチャ分析と設計言語[AADL]、証明可能なコードからの予測可能なアセンブリ[PACC]、適応的サービス品質[AQoS]など)に基づき、この研究はMBSEの実践状況を前進させる可能性がある。PACCのような先行するSEIの研究は、その時代にはまだ早かったかもしれない: ローコード/クラウド・コンピューティングとMBSEの分野で話を聞いた専門家の中には、「モデルがソフトウェアになる」(つまり、ソフトウェアとシステム・モデルを実行コードに変換する人間の作業をなくす)「次世代」MBSEについて説明する人もいた。
• Distributed Computing • 分散コンピューティング
– Comparing the themes and sub-themes from this year’s ETS to those of the prior ETSs, other emerging technologies still prevail, including quantum computing, blockchain, and AI. Interestingly, although still included in this report, some technologies, such as quantum computing, remain more “futuristic,” with timelines that are 10 years out. Not surprising, though, are the DoD’s most pressing and present concerns about post-quantum cryptography (also known as quantum-resistant cryptography), which could invariably compromise traditional (or pre-quantum) cryptographic algorithms. – 今年のETSのテーマとサブテーマを過去のETSのテーマと比較すると、量子コンピューティング、ブロックチェーン、AIなど、他の新興技術が依然として優勢である。興味深いことに、本レポートにはまだ含まれているが、量子コンピューティングのようないくつかの技術は、10年先のタイムラインと、より「未来的」なままである。しかし、驚くことではないが、国防総省が最も緊急かつ現在懸念しているのは、従来の(あるいは量子以前の)暗号アルゴリズムを必ず危険にさらす可能性のあるポスト量子暗号(量子耐性暗号とも呼ばれる)である。

 

 

 

| | Comments (0)

米国 CISA 能力強化ガイド:ウェブサービスに対するDDoS技術ガイダンス

こんにちは、丸山満彦です。

CISAが、連邦政府(軍等を除く)についてのDDoS攻撃に対する対策ガイドを公表していますね。。。

連邦政府(軍等を除く)は5つのポイントでリスクを考えるとよいとしていますね。。。

(1) 公共取引(国民へのサービス)

(2) 情報への一般公開

(3) 政府と業界のパートナーシップ

(4) 省庁内部の運営

(5) レピュテーション

 

CISA

・2023.09.06 CISA Releases Capacity Enhancement Guide to Strengthen Agency Resilience to DDoS Attack

 

CISA Releases Capacity Enhancement Guide to Strengthen Agency Resilience to DDoS Attack CISA、DDoS攻撃に対する省庁のレジリエンスを強化するための能力強化ガイドを発表
CISA has released actionable guidance for Federal Civilian Executive Branch (FCEB) agencies to help them evaluate and mitigate the risk of volumetric distributed denial-of-service (DDoS) attacks against their websites and related web services. The Capacity Enhancement Guide: Volumetric DDoS Against Web Services Technical Guidance CISAは、連邦文民行政機関(FCEB)向けに、ウェブサイトや関連ウェブサービスに対する大規模な分散型サービス妨害(DDoS)攻撃のリスクを評価し、軽減するための実用的なガイダンスを発表した。能力強化ガイドウェブサービスに対するボリュメトリックDDoS技術ガイダンス:  
Helps agencies prioritize DDoS mitigations based on mission and reputational impact.  ミッションと評判への影響に基づいて、機関が DDoS 軽減の優先順位を決定できるよう支援する。
Describes DDoS mitigation services so agencies can make risk-informed tradeoff decisions on how to use available resources most effectively.  機関が利用可能なリソースを最も効果的に使用する方法について、リスク情報に基づいたトレードオフの意思決定を行えるよう、DDoS軽減サービスについて説明する。

 

 

・[PDF] Capacity Enhancement Guide: Volumetric DDoS Against Web Services Technical Guidance

 

20230910-50507

 

 

目次的なもの...

Purpose 目的
AUDIENCE & SCOPE  対象範囲 
RECOMMENDATIONS SECTION 1: IMPACT ANALYSIS  推奨事項 セクション 1: 影響分析 
Step 1: Inventory  ステップ1:目録作成 
Step 2: Analyze  ステップ2:分析 
Step 3: Calculate  ステップ3:計算する 
Step 4: Prioritize  ステップ4:優先順位をつける 
SECTION 2: RISK MITIGATIONS  セクション 2: リスク低減 
Content Delivery Network (CDN)  コンテンツデリバリー・ネットワーク(CDN) 
Internet Service Providers (ISP) & Upstream Providers  インターネット・サービス・プロバイダ(ISP)およびアップストリーム・プロバイダ 
Cloud Service Provider (CSP) Hosted Services  クラウド・サービス・プロバイダ(CSP)のホスティング・サービス 
On-Premises Solutions  オンプレミス・ソリューション 
SUMMARY  概要 
REPORTING  報告 
CONTACT INFO  連絡先 
RESOURCES  参照情報

 

こちら「連邦政府機関向け能力強化ガイド」も参考になります。。。

Capacity Enhancement Guides for Federal Agencies

Volumetric DDoS Against Web Services Technical Guidance ウェブサービスに対するボリュメトリックDDoS技術ガイダンス
Additional DDoS Guidance for Federal Agencies 連邦政府機関向け追加DDoSガイダンス
Counter Phishing Recommendations for Federal Agencies 連邦政府機関向けのフィッシング対策に関する推奨事項
Securing Web Browsers and Defending Against Malvertising for Federal Agencies 連邦政府機関向けウェブブラウザの保護と不正広告からの防御
Implementing Strong Authentication Capacity Enhancement Guide 強力な本人認証の実装 能力向上ガイド
Remote Patch and Vulnerability Management Capacity Enhancement Guide リモートパッチおよび脆弱性管理能力強化ガイド
Printing While Working Remotely Capacity Enhancement Guide リモート作業中の印刷 能力向上ガイド
CEG Mobile Device Cybersecurity Checklist for Organizations 組織向けCEGモバイルデバイス・サイバーセキュリティ・チェックリスト
CEG Mobile Device Cybersecurity for Checklist for Consumers 消費者向けCEGモバイルデバイス・サイバーセキュリティチェックリスト
CEG Social Media Account Protection CEG ソーシャルメディア・アカウント防御

 

ガイドの対仮訳 ↓↓↓



Continue reading "米国 CISA 能力強化ガイド:ウェブサービスに対するDDoS技術ガイダンス"

| | Comments (0)

2023.09.09

NIST IR 8450 属性暗号に基づくアクセス制御の概要と考察

こんにちは、丸山満彦です。

NISTが、NIST IR 8450 属性暗号に基づくアクセス制御の概要と考察を公表していますね。。。今年の5月に意見募集をしていたものですね。。。

NISTでは、「Attribute Encryption」という用語が使われていますが、「Attribute-based encryption」[wikipedia] とも言われていますね。。

ある人の属性が変わった場合に、その人のアクセスルールを変更する手間を省けますね。。。

鍵ポリシー属性ベース暗号(KP-ABE)と暗号文ポリシー属性ベース暗号(CP-ABE)の2つがありますね。。。

 

NIST - ITL

プレス...

・2023.09.06 Overview and Considerations of Access Control Based on Attribute Encryption: NIST Publishes IR 8450

Overview and Considerations of Access Control Based on Attribute Encryption: NIST Publishes IR 8450< 属性暗号に基づくアクセス制御の概要と考察: NISTがIR 8450を発行
NIST has published NIST Internal Report (IR) 8450, Overview and Considerations of Access Control Based on Attribute Encryption. Access control based on attribute encryption addresses an issue with traditional public-key encryption (PKE) wherein keys need to dynamically change whenever access policies and/or attributes change, which could cause inefficient system performance. NISTは、NIST Internal Report (IR) 8450「Overview and Considerations of Access Control Based on Attribute Encryption」を発表した。属性暗号化に基づくアクセス制御は、従来の公開鍵暗号化(PKE)の問題点である、アクセス・ポリシーや属性が変更されるたびに鍵を動的に変更する必要があり、システムのパフォーマンスが非効率になる可能性がある、という問題に対処するものである。
Access control based on attribute encryption supports fine-grained access control for encrypted data and is a cryptographic scheme that goes beyond the all-or-nothing approach of public-key encryption. This document reviews the interplay between cryptography and the access control of attribute-based encryption, including the fundamental theories on which the scheme is based; the various main algorithms of IBE, CP-ABE, and KP-ABE; and considerations for deploying access control systems based on encryption.  属性暗号化に基づくアクセス制御は、暗号化データのきめ細かなアクセス制御をサポートし、公開鍵暗号化のオール・オア・ナッシング・アプローチを超える暗号方式である。本書では、この方式の基礎となる基礎理論、IBE、CP-ABE、KP-ABE の各種主要アルゴリズム、暗号に基づくアクセス制御システムの導入に関する考慮事項など、暗号と属性暗号によるアクセス制御の相互関係について概説する。

 

文書...

・2023.09.06 NIST IR 8450 Overview and Considerations of Access Control Based on Attribute Encryption

NIST IR 8450 Overview and Considerations of Access Control Based on Attribute Encryption NIST IR 8450 属性暗号化に基づくアクセス制御の概要と考察
Abstract 概要
Encryption technology can be incorporated into access control mechanisms based on user identities, user attributes, or resource attributes. Traditional public-key encryption requires different data to have different keys that can be distributed to users who satisfy perspective access control policies along with the encrypted version of the data. However, some distributed or pervasive system environments wish to avoid the public-key encryption’s all-or-nothing data access limitation when considering their performance requirements. Attribute-based encryption incorporates access control policies and attributes with encryption and decryption functions and a one-to-many authorization scheme that requires fewer keys than public-key encryption. It also utilizes collusion-resistance, which provides a more efficient and flexible attribute-based access control mechanism that supports high-performance systems (e.g., cloud, IoT, disrupt-tolerant networks, wireless sensor networks, mobile ad-hoc networks, and public search service systems). 暗号化技術は、ユーザーID、ユーザー属性、またはリソース属性に基づくアクセス制御メカニズムに組み込むことができる。従来の公開鍵暗号化では、異なるデータには異なる鍵が必要であり、その鍵は暗号化されたバージョンのデータとともに、観点からのアクセス制御ポリシーを満たすユーザーに配布される。しかし、分散型や広帯域型のシステム環境では、性能要件を考慮する際に、公開鍵暗号化のオール・オア・ナッシングのデータアクセス制限を回避したい場合がある。属性ベースの暗号化は、アクセス制御ポリシーと属性を、暗号化と復号化機能、および公開鍵暗号化よりも少ない鍵数で済む1対多の認可スキームに組み込んだものである。また、談合耐性を利用することで、より効率的で柔軟な属性ベースのアクセス制御メカニズムを提供し、高性能システム(クラウド、IoT、ディスラプトレラントネットワーク、ワイヤレスセンサーネットワーク、モバイルアドホックネットワーク、公共検索サービスシステムなど)をサポートする。

 

・[PDF]NIST.IR.8450

20230909-40839

 

目次...

 

Table of Contents  目次 
Executive Summary エグゼクティブサマリー
1.  Introduction 1.  序文
2.  Fundamental Theories 2.  基本理論
2.1.  Elliptic Curve 2.1.  楕円曲線
2.2.  Elliptic-Curve Cryptography 2.2.  楕円曲線暗号
2.3.  Bilinear Pair Mapping 2.3.  双線形ペアマッピング
2.4.  Bilinear Pairing for Cryptography 2.4.  暗号のための双線形ペアマッピング
3.  Identity-Based Encryption 3.  IDベースの暗号化
4.  Attribute-Based Encryption 4.  属性ベースの暗号化
4.1.  Ciphertext-Policy Attribute-Based Encryption 4.1.  暗号文-ポリシー属性ベースの暗号化
4.2.  Key-Policy Attribute-Based Encryption 4.2.  鍵ポリシー属性ベース暗号化
5.  ABE System Considerations 5.  ABE システムに関する考察
5.1.  Security 5.1.  セキュリティ
5.1.1.  Key Management 5.1.1.  鍵管理
5.1.2.  Threats and Attacks 5.1.2.  脅威と攻撃
5.2.  Performance 5.2.  性能
5.2.1.  Computational Complexity 5.2.1.  計算の複雑さ
5.2.2.  Keys and Ciphertext Size 5.2.2.  鍵と暗号文のサイズ
5.2.3.  Physical Limitations 5.2.3.  物理的制限
5.3.  Access Control Policies and Model Supports 5.3.  アクセス・コントロール・ポリシーとサポート・モデル
6.  Conclusion 6.  結論
References 参考文献

 

エグゼクティブサマリー...

Executive Summary  要旨 
Traditional public-key encryption (PKE) requires different data to have different keys that can be distributed to users who satisfy access control policies along with the encrypted version of the data. With user-specific keys, communication complexity is linear to the number of users, and pre-distributed keys are neither bound to the attributes of users and data nor to the respective access control policy. If access policies or attributes change dynamically (especially in real time), keys need to change as well, which could cause inefficient performance in the system. Combining cryptography with access control mechanisms can avoid the PKE’s all-or-nothing limitation of keys and improve performance. Encryption technology that is typically used for key exchange, digital signature, and certification can be incorporated into access control mechanisms based on user identities, user attributes, and resource attributes.  従来の公開鍵暗号化(PKE)では、異なるデータに異なる鍵を持たせ、暗号化されたデータとともにアクセス制御ポリシーを満たすユーザーに配布する必要があった。ユーザー固有の鍵では、コミュニケーションの複雑さはユーザー数に比例し、事前に配布された鍵はユーザーやデータの属性にもアクセス制御ポリシーにも拘束されない。アクセス・ポリシーや属性が(特にリアルタイムで)動的に変更される場合、鍵も同様に変更する必要があり、システムのパフォーマンスが非効率になる可能性がある。暗号技術とアクセス制御メカニズムを組み合わせることで、PKEの鍵のオール・オア・ナッシングの制限を回避し、性能を改善することができる。鍵交換、電子署名、認証に通常使用される暗号化技術を、ユーザーID、ユーザー属性、リソース属性に基づくアクセス制御メカニズムに組み込むことができる。
Attribute-based encryption (ABE) incorporates access control policies and attributes into encryption and decryption functions for public-key cryptography protocols through broadcasting. Fewer keys are used for ABE than for traditional PKE, which allows it to be an efficient and flexible attribute-based access control method.   属性ベースの暗号化(ABE)は、ブロードキャストを通じて、公開鍵暗号プロトコルの暗号化・復号化機能にアクセス制御ポリシーと属性を組み込む。ABEでは、従来のPKEに比べて使用する鍵が少ないため、効率的で柔軟な属性ベースのアクセス制御が可能である。 
The main features of ABE access control include:  ABEのアクセス制御の主な特徴は以下の通りである: 
•       A one-to-many authorization scheme  ・一対多の認証スキーム
•       Fine-grained access control based on user (i.e., subject) or resource (i.e., object) attributes  ・ユーザー(=サブジェクト)またはリソース(=オブジェクト)の属性に基づくきめ細かなアクセス制御 
•       Message sending without obtaining public-key certificates from public-key infrastructure   ・公開鍵インフラストラクチャから公開鍵証明書を取得することなくメッセージを送信できる。
•       Data decryption without evaluating permissions from access control policy  ・アクセス制御ポリシーの許可を評価することなく,データを復号化できる。
•       Collusion-resistance so that a user who holds multiple keys cannot combine different keys to access a resource that is only allowed by one key   ・複数の鍵を保持するユーザが,異なる鍵を組み合わせて,ある鍵でのみ許可されるリソースにアクセスできないようにする。
The fine-grained and collusion-resistant features of ABE support the physical resources and performance demands of systems like the cloud, Internet of Things (IoT), disrupt-tolerant networks, wireless sensor networks, mobile ad hoc networks, and public search service systems.  ABEのきめ細かく耐共解性の高い機能は、クラウド、モノのインターネット(IoT)、ディスラプト・トレラント・ネットワーク、ワイヤレス・センサー・ネットワーク、モバイル・アドホック・ネットワーク、公共検索サービス・システムなどの物理的リソースと性能の要求をサポートする。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.13 米国 NIST 意見募集 NISTIR 8450(ドラフト) 属性暗号に基づくアクセス制御の概要と留意点

| | Comments (0)

2023.09.08

NIST IR 8408 ステーブルコイン技術と関連するセキュリティ上の考慮事項の理解

こんにちは、丸山満彦です。

NISTがIR 8408 ステーブルコイン技術と関連するセキュリティ上の考慮事項の理解を公表しています。。。

ステーブルコイン技術の理解という意味では

  • どのように設計され実装されているのか
  • 説明的な定義
  • 一般的に見られる特性
  • 際立った特徴に加え
  • ステーブルコインの分類法
  • 最も一般的なタイプの説明
  • 時価総額上位のステーブルコインのリスト

といった事項が記載されていて、

セキュリティ的な面では、

  • セキュリティ
  • 安全性
  • 信頼の問題

が記載されていますね。。。

いろいろと勉強になります。。。

 

NIST - ITL 

・2023.09.05 NIST IR 8408 Understanding Stablecoin Technology and Related Security Considerations

NIST IR 8408 Understanding Stablecoin Technology and Related Security Considerations NIST IR 8408 ステーブルコイン技術と関連するセキュリティ上の考慮事項の理解
Abstract 概要
Stablecoins are cryptocurrencies whose price is pegged to that of another asset (typically one with low price volatility). The market for stablecoins has grown tremendously – up to almost $200 billion USD in 2022. These coins are being used extensively in newly developing paradigms for digital money and commerce as well as for decentralized finance technology. This work provides a technical description of stablecoin technology to enable reader understanding of the variety of ways in which stablecoins are architected and implemented. This includes a descriptive definition, commonly found properties, and distinguishing characteristics, as well as an exploration of stablecoin taxonomies, descriptions of the most common types, and examples from a list of top stablecoins by market capitalization. This document also explores related security, safety, and trust issues with an analysis conducted from a computer science and information technology security perspective as opposed to the financial analysis and economics focus of much of the stablecoin literature. ステーブルコインは、価格が他の資産(通常、価格変動が小さい資産)の価格に固定されている暗号通貨である。ステーブルコインの市場は驚異的な成長を遂げており、2022年には約2,000億米ドルに達する。これらのコインは、新たに開発されたデジタルマネーと商取引のパラダイムや、分散型金融技術に幅広く利用されている。この著作では、ステーブルコイン技術の技術的な説明をプロバイダとして提供し、ステーブルコインがどのように設計され実装されているのか、その多様な方法を読者が理解できるようにする。これには、説明的な定義、一般的に見られる特性、際立った特徴に加え、ステーブルコインの分類法の探求、最も一般的なタイプの説明、時価総額上位のステーブルコインのリストからの例が含まれる。本書はまた、ステーブルコインの文献の多くが金融分析や経済学に焦点を当てているのとは対照的に、コンピュータ科学と情報技術セキュリティの観点から分析を行い、関連するセキュリティ、安全性、信頼の問題を探求している。

 

・[PDF] NIST.IR.8408

20230908-61611

・[DOCX] 仮訳

 

 

 

目次...

Executive Summary エグゼクティブ・サマリー
1. Introduction 1. はじめに
1.1. One Year Stability Analysis of Top Stablecoins by Market Capitalization 1.1. 時価総額上位安定コインの1年間の安定性分析
1.2. Note on Regulations 1.2. レギュレーションについて
2. Background Technology 2. 背景技術
2.1. Blockchain 2.1. ブロックチェーン
2.2. Cryptocurrencies 2.2. 暗号通貨
2.3. Smart Contracts 2.3. スマートコントラクト
2.4. Cryptocurrency Tokens 2.4. 暗号通貨トークン
2.5. Centralized Finance (CeFi) 2.5. 集中型金融(CeFi)
2.6. Decentralized Finance (DeFi) 2.6. 分散型金融(DeFi)
3. Stablecoin Definition, Properties, and Characteristics 3. ステーブルコインの定義、特性、特徴
3.1. Stablecoin Definition 3.1. ステーブルコインの定義
3.2. Stablecoin Properties 3.2. ステーブルコインのプロパティ
3.3. Stablecoin Characteristics 3.3. ステーブルコインの特徴
4. Stablecoin Taxonomy 4. ステーブルコイン分類法
4.1. Fiat Currency-Backed 4.1. 不換紙幣担保
4.2. Cryptocurrency-Backed 4.2. 暗号通貨の裏付け
4.2.1. Overcollateralized Debt Position 4.2.1.債務超過の状況
4.2.2. Wrapped Fully Collateralized 4.2.2.完全担保付
4.3. Non-Currency Asset-Backed 4.3. 非通貨資産担保型
4.4. Algorithmic Non-Collateralized 4.4. アルゴリズムによる非担保
4.4.1. Rebasing Coins 4.4.1.コインのリベース
4.4.2. Seigniorage Stablecoins 4.4.2.シニョリッジ安定コイン
4.5. Hybrid 4.5. ハイブリッド
4.6. Private Institutional 4.6. 民間機関
5. Security Issues 5. セキュリティ問題
5.1. Unauthorized or Arbitrary Minting of Stablecoins 5.1. ステーブルコインの不正または恣意的な鋳造
5.2.Collateral Theft 5.2. 担保窃盗
5.3. Malicious Smart Contract Update and Hijack 5.3. 悪意のあるスマート・コントラクトの更新とハイジャック
5.4. Data Oracles 5.4. データ神託
5.5. Exploiting the Underlying Blockchain 5.5. 基盤となるブロックチェーンを悪用する
5.6. Writing Secure Software and Vulnerabilities 5.6. 安全なソフトウェアの記述と脆弱性
6. Stability Issues 6. 安定性の問題
6.1. Dynamic Interest Rates 6.1. ダイナミック金利
6.2. Floating Collateral Requirements 6.2. 浮動担保の要件
6.3. Oracle Responsiveness to Rapid Price Fluctuation 6.3. 急激な価格変動への神託の対応力
6.4. Governance Token Devaluation 6.4. ガバナンス・トークンの切り下げ
6.5. Share and Reward Token Devaluation 6.5. シェアと報酬トークンの切り下げ
6.6. Native Cryptocurrency Devaluation 6.6. ネイティブ暗号通貨の切り下げ
6.7. Transaction Price Increase 6.7. 取引価格の引き上げ
6.8. Trading Curb/Circuit Breaker 6.8. トレーディングカーブ/サーキットブレーカー
7. Trust Issues 7. 信頼の問題
7.1. Stablecoin Manager Deception 7.1. ステーブルコイン・マネージャーの欺瞞
7.1.1. Insufficient Reserves 7.1.1.リザーブの不足
7.1.2. Reserve Type Mismatch 7.1.2.リザーブタイプの不一致
7.2. Stablecoin Manager Actions 7.2.ステーブルコイン・マネージャーの行動
7.2.1. Account Denylisting 7.2.1.アカウントの拒否
7.2.2. Managing Organization Dissolution 7.2.2.組織解散の管理
7.2.3. Mass User Departure 7.2.3.大量利用者の出発
7.2.4. Rug Pulls 7.2.4.ラグの引き手
8. Exchanges and Fund Movement 8. 取引所と資金の動き
8.1. Centralized Exchanges 8.1. 集中型取引所
8.2. Decentralized Exchanges 8.2. 分散型取引所
8.2.1. Liquidity Pools and Yield Farming 8.2.1.流動性プールとイールドファーミング
8.2.2. Automated Market Maker Equations 8.2.2.自動マーケットメーカー方程式
8.2.3. Liquidity Pool Security Concerns 8.2.3. 流動性プールのセキュリティ上の懸念
8.3. Cross Chain Bridges 8.3. クロスチェーンブリッジ
9. Conclusion 9. 結論
References 参考文献

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブ・サマリー 
This publication provides a technical description of stablecoin technology to enable reader understanding of the variety of ways in which stablecoins are architected and implemented. It then uses that technical foundation to explore related security, stability, and trust issues.   本書は、読者が安定コインの設計と実装の多様な方法を理解できるように、安定コイン技術の技術的説明を提供する。そして、その技術的基礎を用いて、関連するセキュリティ、安定性、信頼の問題を探求する。  
The following descriptive definition is intended to help readers understand stablecoin technology:  以下の説明的定義は、読者がステーブルコイン技術を理解する一助となることを意図している: 
A stablecoin is a cryptocurrency token that is a fungible unit of financial value pegged to a currency, some other asset, or index. It can be traded directly between parties and converted to other currencies or the pegged asset.  ステイブルコインは、通貨、他の資産、またはインデックスにペッグされた金融価値のカジタブルな単位である暗号通貨トークンである。当事者間で直接取引したり、他の通貨や固定資産に交換したりすることができる。 
Stablecoins can be further understood by an evaluation of their properties and characteristics. Properties highlight areas of commonality among most stablecoins, while characteristics highlight distinctions between the various architectures. The stablecoins all behave similarly from the perspective of the user who possesses and trades them Stablecoins typically include the following four properties.  ステーブルコインは、その特性と特徴を評価することでさらに理解することができる。特性はほとんどのステーブルコインに共通する部分を強調し、特性は様々なアーキテクチャー間の違いを強調する。ステーブルコインは、それを所有し取引するユーザーの視点から見ると、すべて似たような振る舞いをします。ステーブルコインは通常、以下の4つの特性を含んでいます。 
1. Property 1 (Tokenized): A stablecoin is a cryptocurrency token managed by a smart contract.  1. プロパティ1(トークン化):ステーブルコインは、スマートコントラクトによって管理される暗号通貨トークンである。 
2. Property 2 (Fungible): Stablecoins are fungible units of financial value with little to no pricing volatility relative to their pegged asset or index.  2. 特性2(交換可能):ステーブルコインは、ペッグされた資産やインデックスに対して価格変動がほとんどない、カジタブルな金融価値の単位です。 
3. Property 3 (Tradable): Stablecoins can be traded directly between parties.  3. 性質3(取引可能):ステーブルコインは当事者間で直接取引できる。 
4. Property 4 (Convertible): Stablecoins can be converted to other currencies or the pegged asset.  4. 性質4(転換可能):ステーブルコインは、他の通貨やペッグされた資産に交換することができる。 
Many of the differences between stablecoin implementations and approaches can be understood by considering the following stablecoin characteristics:  ステーブルコインの実装とアプローチの違いの多くは、以下のステーブルコインの特徴を考慮することで理解できる: 
• Characteristic 1 (Number of Coins): A stablecoin architecture may use multiple mutually supportive coins to maintain the peg for its stablecoin.  • 特徴1(コインの数):ステーブルコインのアーキテクチャは、そのステーブルコインのペッグを維持するために、相互に支持し合う複数のコインを使用することができる。 
• Characteristic 2 (Custodial Type): Stablecoins may use a centralized custodial finance model (CeFi) or a decentralized non-custodial finance model (DeFi).  • 特徴2(カストディアル・タイプ):ステーブルコインは、中央集権型のカストディアル・ファイナンス・モデル(CeFi)または分散型の非カストディアル・ファイナンス・モデル(DeFi)を使用することができる。 
• Characteristic 3 (Management Type): Stablecoins may have different management types: no management, a company, a known individual, an anonymous individual, or anonymous group owners who hold governance tokens.  • 特徴3(管理タイプ):管理者なし、企業、既知の個人、匿名の個人、またはガバナンストークンを保有する匿名のグループオーナー。 
• Characteristic 4 (Blockchain Automation): Stablecoins may operate fully on-chain and autonomously, on-chain and autonomously but with control hooks, or mostly off-chain and manually with a smart contract interface.  • 特徴4(ブロックチェーンの自動化):ステーブルコインは、完全にオンチェーンで自律的に動作することもあれば、オンチェーンで自律的に動作するがコントロールフックを使用することもあれば、スマートコントラクトインターフェースを使用して大部分がオフチェーンで手動で動作することもある。 
• Characteristic 5 (Coin Minting and Burning): Stablecoins have different policies for minting (coin creation) and burning (coin deletion).  • 特徴5(コインの鋳造と焼却):ステーブルコインには、鋳造(コインの作成)と焼却(コインの削除)にそれぞれ異なるポリシーがある。 
• Characteristic 6 (Collateral Type): Stablecoins may be collateralized using different types of reserves.  • 特徴6(担保タイプ):ステーブルコインは、様々な種類の準備金を担保とすることができる。 
• Characteristic 7 (Collateralization Level): Stablecoins may be collateralized at different levels.  • 特徴7(担保レベル):ステーブルコインは様々なレベルで担保化される可能性があります。 
• Characteristic 8 (Stabilization Mechanism): Stablecoins may use different mechanisms to promote price stability.  • 特徴8(安定化メカニズム):ステーブルコインは、価格の安定を促進するために様々なメカニズムを使用することができる。 
• Characteristic 9 (Oracle Dependence): Stablecoins may depend on “oracles” to provide on-blockchain data feeds for off-blockchain asset prices.  • 特徴9(神託依存):ステーブルコインは、オフブロックチェーン資産価格のオンブロックチェーンデータフィードを提供する「神託(オラクル)」に依存する可能性がある。 
• Characteristic 10 (Blockchain Independence): Stablecoins may be blockchainindependent and simultaneously instantiated on multiple blockchains.  • 特徴10(ブロックチェーンの独立性):ステーブルコインはブロックチェーンに依存せず、複数のブロックチェーン上で同時にインスタンス化することができる。 
This publication also provides a taxonomy of stablecoin types, which describe commonly used approaches. The taxonomy can be used to understand how groups of settings of characteristics work together to form different architectures. The taxonomy is as follows:   本書はまた、一般的に使用されているアプローチを説明する、ステイブルコインのタイプの分類法も提供している。この分類法は、異なるアーキテクチャを形成するために、どのような特性の設定グループがどのように連携しているかを理解するために使用することができる。分類法は以下の通りである:  
1. Fiat Currency-Backed: A stablecoin whose value is backed through cash-equivalent reserves of a particular fiat currency or index of currencies.  1. 不換紙幣を裏付けとする:特定の不換紙幣または通貨インデックスの現金等価準備金によって価値が裏付けされたステーブルコイン。 
2. Cryptocurrency-Backed: A stablecoin whose value is backed through reserves of volatile cryptocurrencies (i.e., not other stablecoins).  2. 暗号通貨の裏付け:ボラティリティの高い暗号通貨(すなわち、他のステーブルコインではない)の準備によって価値が裏付けられるステーブルコイン。 
3. Non-Currency Asset-Backed: A stablecoin whose value is backed through reserves that are non-currency assets or financial vehicles tracking the price of such assets.  3. 非通貨資産担保型:非通貨資産である準備金、またはそのような資産の価格を追跡する金融ビークルによって価値が裏付けされているステーブルコイン。 
4. Algorithmic Non-Collateralized: A stablecoin whose value is stabilized through an algorithm that shrinks and expands the supply of non-collateralized coins to adjust price.  4. アルゴリズムによる非担保:価格を調整するために非担保コインの供給を縮小・拡大するアルゴリズムによって価値が安定するステーブルコイン。 
5. Hybrid: A stablecoin whose value is stabilized through a combination of methods drawn from fiat, cryptocurrency, non-currency asset, and algorithmic-backed stablecoins (usually a partially cryptocurrency collateralized algorithmic approach).  5. ハイブリッド:フィアット、暗号通貨、非通貨資産、アルゴリズム担保のステーブルコイン(通常、部分的に暗号通貨担保のアルゴリズムアプローチ)から引き出された方法の組み合わせによって価値が安定するステーブルコイン。 
6. Private Institutional: A stablecoin that is issued for use on a private blockchain for the internal account transactions of the stablecoin issuer’s customers.  6. プライベート機関:ステーブルコイン発行者の顧客の内部口座取引用にプライベートブロックチェーン上で使用するために発行されるステーブルコイン。 
The descriptive stablecoin definition, properties, characteristics, and taxonomy are used to evaluate how computer security issues could affect the proper functioning of stablecoins or result in a loss of value to stablecoin users. The three areas investigated are security, stability, and trust.  記述的なステーブルコインの定義、特性、特徴、分類法を用いて、コンピュータセキュリティの問題がステーブルコインの適切な機能にどのような影響を与えうるか、あるいはステーブルコインユーザーの価値の損失にどのような結果をもたらしうるかを評価する。調査対象は、セキュリティ、安定性、信頼の3分野である。 
Security issues include the following:  セキュリティー問題には以下のようなものがある: 
1. Unauthorized or Arbitrary Minting of Stablecoins: there may arise a situation or combination of situations that may allow for the creation of stablecoins outside of the intended process.  1. 不正または恣意的なステーブルコインの鋳造:意図されたプロセス以外でステーブルコインの鋳造を可能にする状況や組み合わせが発生する可能性があります。 
2. Collateral Theft: the stablecoin’s on blockchain collateral (or reserves) may be subject to theft should an attacker discover and leverage a vulnerability in the smart contract code.  2. 担保の盗難:攻撃者がスマートコントラクトコードの脆弱性を発見し、活用した場合、ブロックチェーン上の安定コインの担保(または準備金)は盗難の対象となる可能性がある。 
3. Malicious Smart Contract Update and Hijack: it may be possible for malicious users to engineer a scenario in which they obtain the ability to deploy updated versions of the stablecoin’s smart contract.  3. 悪意のあるスマートコントラクトのアップデートとハイジャック:悪意のあるユーザが、安定コインのスマートコントラクトのアップデートバージョンをデプロイする能力を得るシナリオを設計することが可能かもしれない。 
4. Data Oracles: oracles provide stablecoin smart contracts off-blockchain information (e.g., the price of a currency). An attacker could disrupt the data used as input to the oracle, compromise the oracle itself with a denial-of-service attack, or take advantage of a vulnerability to learn what data the oracle is about to submit.  4. データ神託:神託は、安定コインのスマートコントラクトにブロックチェーン外の情報(通貨の価格など)を提供する。攻撃者は、オラクルへの入力として使用されるデータを混乱させたり、サービス拒否攻撃でオラクル自体を侵害したり、脆弱性を利用してオラクルが送信しようとしているデータを知ることができます。 
5. Exploiting the Underlying Blockchain: it is possible for well-resourced attackers to take over the blockchain underlying a stablecoin implementation. Attackers might do this by controlling a majority of the mining hardware used in a proof-of-work consensus algorithm or stake a majority of funds in a proof-of-stake system. This is unlikely for large blockchain systems given the size of the community that maintains them.  5. 基盤となるブロックチェーンの悪用:十分な資金を持つ攻撃者が ステーブルコインの実装の基盤となるブロックチェーンを乗っ取ることは可能である。攻撃者は、プルーフ・オブ・ワークのコンセンサス・アルゴリズムで使用されるマイニング・ハードウェアの過半数を支配したり、プルーフ・オブ・ステーク・システムで資金の過半数を賭けたりすることでこれを行うかもしれない。大規模なブロックチェーンシステムでは、それを維持するコミュニティの規模を考えると、このようなことは考えにくい。 

| | Comments (0)

米国 CISA 幼稚園から高校まで (K-12) への教育ソフト開発会社とセキュア・バイ・デザインの誓約をかわす (2023.09.05)

こんにちは、丸山満彦です。

米国 CISA 幼稚園から高校まで (K-12) への教育ソフト開発会社とセキュア・バイ・デザインの誓約をかわしたと発表していますね。。。

約束をした3つの事項は、

Companies that sign the pledge are publicly agreeing to adopt three principles: 誓約書に署名した企業は、3つの原則を採用することに公的に同意したことになる:
・Take ownership of customer security outcomes ・顧客のセキュリティ成果のオーナーシップを持つ
・Embrace radical transparency and accountability ・抜本的な透明性と説明責任を受け入れる
・Lead from the top by making secure technology a key priority for company leadership ・セキュアな技術を企業リーダーシップの重要な優先事項とすることで、トップが主導する。

 

Row of cybersecurity icons outlining the three principles of Secure by design pledge

 

CISA

プレス...

・2023.09.05 CISA Announces Secure by Design Pledge with K-12 Education Technology Providers

 

CISA Announces Secure by Design Pledge with K-12 Education Technology Providers CISA、K-12教育テクノロジ・プロバイダとのセキュア・バイ・デザイン誓約を発表
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) is announcing a voluntary pledge for K-12 Education Technology software manufacturers to commit to designing products with greater security built in. As of September 1, CISA has received commitments from six K-12 software technology providers, including some of the largest providers of K-12 education software in the United States. Commitments received include 
PowerSchool,  
Classlink,  
Clever
GG4L,  
Instructure,  and 
D2L. 
ワシントン - サイバーセキュリティ・インフラセキュリティ庁(CISA)は、K-12教育テクノロジ・ソフトウェア・メーカーに対し、より高いセキュリティを組み込んだ製品を設計することを約束する自発的な誓約を発表した。9月1日現在、CISAは、米国最大のK-12教育ソフトウェアのプロバイダを含む6つのK-12ソフトウェア技術プロバイダから誓約書を受け取っている。PowerSchool、Classlink、Clever、GG4L、Instructure、D2Lなどである。
“We need to address K-12 cybersecurity issues at its foundation by ensuring schools and administrators have access to technology and software that is safe and secure right out of the box,” said CISA Director Jen Easterly. “I want to thank Classlink, Clever, D2L, GG4L, Instructure, and PowerSchool who have already signed this pledge and for their leadership in this area. We need all K-12 software manufacturers to help us improve cybersecurity for the education sector by committing to prioritize security as a critical element of product development.” CISAのディレクターであるジェン・イースタリーは次のように述べている。「私たちは、学校と管理者が安全でセキュアなテクノロジーとソフトウェアにすぐにアクセスできるようにすることで、K-12のサイバーセキュリティ問題の根幹に取り組む必要がある。すでにこの誓約書に署名し、この分野でリーダーシップを発揮しているClasslink、Clever、D2L、GG4L、Instructure、PowerSchoolに感謝したい。我々は、すべてのK-12ソフトウェアメーカーが、製品開発の重要な要素としてセキュリティを優先することを約束することで、教育セクターのサイバーセキュリティを改善するために協力してくれることを必要としている。」
Companies that sign the pledge are publicly agreeing to adopt three principles: 誓約書に署名した企業は、3つの原則を採用することに公的に同意したことになる:
・Take ownership of customer security outcomes ・顧客のセキュリティ成果のオーナーシップを持つ
・Embrace radical transparency and accountability ・抜本的な透明性と説明責任を受け入れる
・Lead from the top by making secure technology a key priority for company leadership ・セキュアな技術を企業リーダーシップの重要な優先事項とすることで、トップが主導する。
The pledge includes specific, publicly measurable outcomes that the companies are committing to as they develop their roadmaps toward adhering to Secure by Design principles. この誓約には、セキュア・バイ・デザインの原則を遵守するためのロードマップを策定する際に各社が約束する、公に測定可能な具体的な成果が含まれている。
Learn more about this voluntary pledge and sign it today by visiting: cisa.gov/k-12-education-technology-secure-design-pledge. この自主的な誓約の詳細と署名は、cisa.gov/k-12-education-technology-secure-design-pledgeを参照のこと。

 

 

K-12 Education Technology Secure by Design Pledge

 

K-12 Education Technology Secure by Design Pledge K-12教育テクノロジー セキュア・バイ・デザイン誓約
Overview 概要
This is a voluntary pledge for K-12 Education Technology software manufacturers, in line with CISA’s Secure by Design whitepaper. By participating in this pledge, manufacturers are pledging publicly to the following actions: これは、CISAのホワイトペーパー「Secure by Design」に沿った、K-12教育テクノロジ・ソフトウェア製造業者のための自主的な誓約である。この誓約に参加することで、メーカーは以下の行動を公に誓約することになる:
Principle 1: Take Ownership of Customer Security Outcomes 原則1:顧客のセキュリティ成果のオーナーシップを持つ
Single Sign On (SSO) at no extra charge. As SSO can enable greater security by reducing password-based attacks, manufacturers should allow all customers to configure standards-based SSO. シングルサインオン(SSO)を追加料金なしで提供する。SSOはパスワードベースの攻撃を減らすことでより高いセキュリティを可能にするため、メーカーはすべての顧客が標準ベースのSSOを設定できるようにすべきである。
Goal: no later than 6 months after the summit, customers may configure standards-based SSO at no additional charge. 目標:サミット後 6 カ月以内に、顧客は追加料金なしで標準ベースの SSO を構成できるようにする。
Security audit logs at no extra charge. Security audit logs necessary for monitoring and responding to cybersecurity incidents should be provided at no additional charge to schools. セキュリティ監査ログを追加料金なしで提供する。サイバーセキュリティインシデントの監視と対応に必要なセキュリティ監査ログを、学校に追加料金なしで提供すること。
Goal: no later than 6 months after the summit, security audit logs are provided to customers at no additional charge. 目標:サミット後6カ月以内に、セキュリティ監査ログを追加料金なしで顧客に提供する。
Principle 2: Embrace Radical Transparency and Accountability 原則 2:抜本的な透明性と説明責任を受け入れる
Publish a Secure by Design roadmap. Document how you are making changes to your SDLC to improve customer security, including actions taken to eliminate entire classes of vulnerabilities (e.g. by usage of memory-safe languages, parametrized queries, and web template frameworks). Include detail on how you are updating your hiring, training, code review, and other internal development processes to do so. The roadmap should also outline how the manufacturer plans to nudge all users, including students, towards MFA, with the understanding that students may not possess a mobile device traditionally used for MFA (other authentication options, such as passkeys, should be considered). セキュアbyデザインのロードマップを公開する。顧客のセキュリティを改善するために、SDLC にどのような変更を加えているかを文書化する。そのために、採用、トレーニング、コードレビュー、その他の内部開発プロ セスをどのように更新しているかについても詳述する。ロードマップには、学生が従来 MFA に使用されてきたモバイルデバイスを所持していない可能性があること を理解した上で、学生を含むすべてのユーザを MFA に誘導する計画についても概説すること(パス キーなど他の認証オプションも考慮すること)。
Goal: no later than 6 months after the summit, the Secure by Design roadmap is published on the manufacturer’s website. 目標:遅くともサミット後 6 カ月以内に、Secure by Design のロードマップを製造事業者の Web サイトで公表する。
Publish a vulnerability disclosure policy. Publish a vulnerability disclosure policy that (1) authorizes testing against all products offered by the manufacturer, (2) provides legal safe harbor that authorizes testing under the policy, and (3) allows public disclosure of vulnerabilities after a set timeline. Manufacturers should perform root-cause analysis of discovered vulnerabilities and, to the greatest extent feasible, take actions to eliminate root cause vulnerability classes in line with the Secure by Design roadmap. 脆弱性開示方針を公表する。(1)メーカーが提供する全製品に対するテストを許可し、(2)ポリシーに基づくテストを許可する法的セーフハーバーを提供し、(3)設定されたタイムライン後に脆弱性の公開を許可する脆弱性公開ポリシーを公表する。メーカーは、発見された脆弱性の根本原因分析を実施し、可能な限り、セキュア・バイ・デザインのロードマップに沿って、根本原因である脆弱性クラスを排除するための措置を講じるべきである。
Goal: no later than 3 months after the summit, the manufacturer has published a vulnerability disclosure policy on its website that adheres to the above criteria. 目標:遅くともサミットから3ヵ月後までに、メーカーは上記の基準に準拠した脆弱性開示方針をウェブサイトで公表している。
Embrace vulnerability transparency. Ensure that product CVE entries are correct and complete, including a CWE field that identifies the root cause of the vulnerability. 脆弱性の透明性を受け入れる。脆弱性の根本原因を特定するCWEフィールドを含め、製品のCVEエントリが正確かつ完全であることを保証する。
Goal: no later than 3 months after the summit, all new CVEs published by the manufacturer include complete details on the vulnerability and have a properly-assigned CWE tag for the vulnerability’s root cause. 目標:遅くともサミット後3ヶ月以内に、メーカーが公表するすべての新規CVEに脆弱性の完全な詳細が含まれ、脆弱性の根本原因を示すCWEタグが適切に付与されている。
Publish security-relevant statistics and trends. This may include aggregated statistics of MFA adoption of customers and administrators, and use of unsafe legacy protocols. セキュリティ関連の統計や傾向を公表する。これには、顧客や管理者の MFA 導入状況や、安全でないレガシー・プロトコルの使用状況などの集計統計が含まれる。
Goal: no later than 6 months after the summit, security statistics and trends are published on the manufacturer’s website. 目標:サミット後 6 カ月以内に、セキュリティ統計と傾向 を製造事業者のウェブサイトで公表する
Principle 3: Lead from the Top 原則 3:トップが主導する
Publicly name a top business leader (not the CTO or CISO) who is responsible for security. This individual should be responsible for managing the process of integrating security and quality as a core function of the business, including the development and implementation of the Secure by Design roadmap. セキュリティ担当のトップビジネスリーダー(CTO や CISO ではない)を 公表する。この人物は、「セキュア バイ デザイン」ロードマップの策定と実施など、セキュリ ティと品質を事業の中核機能として統合するプ ロセスを管理する責任を負うべきである。
Goal: no later than 3 months after the summit, the manufacturer has publicly named a top business leader responsible for security. 目標:サミットから 3 カ月後までに、セキュリティ担当のトップ ビジネスリーダーを公表する

| | Comments (0)

2023.09.07

EU 欧州保険・企業年金監督局 (EIOPA) サイバーリスクに関する保険ストレステストの方法論的原則に関する文書 (2023.07.11)

こんにちは、丸山満彦です。

欧州保険・企業年金監督局 (European Insurance and Occupational Pensions Authority; EIOPA) サイバーリスクに関する保険ストレステストの方法論的原則に関するペーパ を2023.07.11に公表していましたね。。。

保険の基本的な知識がないので、よくわからない部分もあるのですが、興味深い文書だと思います。。。

 

European Insurance and Occupational Pensions Authority; EIOPA

・2023.07.11 EIOPA publishes paper on methodological principles of insurance stress testing of cyber risks

EIOPA publishes paper on methodological principles of insurance stress testing of cyber risks EIOPA、サイバーリスクに関する保険ストレステストの方法論的原則に関するペーパーを公表
The European Insurance and Occupational Pensions Authority (EIOPA) published today its fourth paper in a series of papers on methodological principles of insurance stress testing. The paper focuses on the cyber risk component, and it is a further step in enhancing EIOPA’s bottom-up insurance stress testing framework. 欧州保険・職業年金機構(EIOPA)は本日、保険ストレステストの方法論的原則に関する一連のペーパーの4本目となるペーパーを公表した。このペーパーはサイバーリスクの要素に焦点を当てており、EIOPAのボトムアップの保険ストレステストの枠組みを強化するためのさらなる一歩である。
The aim of the paper is to set the ground for an assessment of insurers’ financial resilience under severe but plausible cyber incident scenarios. The methodological principles cover insurers’ own cyber resilience and the vulnerabilities related to cyber underwriting risk. Overall, the principles should help in the design phase of future insurance stress tests with focus on cyber risks. Operational resilience testing, as required under the Digital Operational Resilience Act (DORA), is not in the scope of the current paper. 本稿の目的は、深刻ではあるが、もっともらしいサイバーインシデント・シナリオの下で保険者の財務レジリエンスを評価するための基礎を確立することである。方法論の原則は、保険会社自身のサイバー・レジリエンスとサイバー保険引受リスクに関連する脆弱性をカバーしている。全体として、この原則はサイバー・リスクに焦点を当てた将来の保険ストレステストの設計段階で役立つはずである。デジタル・オペレーショナル・レジリエンス法(DORA)で義務付けられているオペレーショナル・レジリエンス・テストは、今回の論文の範囲には含まれていない。
The principles are built on relevant and still evolving regulation and supervisory experience in this area. Hence, the proposed framework might evolve in the future to reflect developments in the assessment of cyber risks at European and global level. 本原則は、この分野における関連し、かつ現在も発展途上にある規制と監督上の経験に基づき構築されている。したがって、提案されたフレームワークは、欧州および世界レベルでのサイバーリスクのアセスメントの進展を反映し、将来的に進化する可能性がある。
The paper also took into account the feedback provided by stakeholders during the public consultation. また、本ペーパーは、パブリックコンサルテーションにおいて関係者から提供されたフィードバックも考慮に入れている。
Background 背景
In 2019, EIOPA initiated a process to improve its methodology for bottom-up stress testing. The first paper of the series set out the methodological principles of insurance stress testing while the second paper focused specifically on methodological principles that can be used to design exercises assessing insurers’ vulnerability to liquidity shocks. The third paper outlined the methodological principles for stress testing of climate change risk. 2019年、EIOPAはボトムアップストレステストの手法を改善するプロセスを開始した。このシリーズの最初のペーパーは、保険ストレステストの方法論的原則を示したものであり、2番目のペーパーは、流動性ショックに対する保険者の脆弱性を評価するエクササイズを設計するために使用できる方法論的原則に特に焦点を当てたものであった。第3 のペーパーでは、気候変動リスクのストレステストの方法論的原則について概説した。

 

 

・2023.07.11 Methodological principles of insurance stress testing - cyber component

Methodological principles of insurance stress testing - cyber component 保険ストレステストの方法論的原則 - サイバーコンポーネント
Description 説明

This paper aims to set the ground for an assessment of insurers’ resilience under severe but plausible cyber incident scenarios, focusing mostly on the financial consequences of such scenarios. It elaborates on two main aspects:

本稿の目的は、厳しくももっともらしいサイバーインシデント・シナリオの下での保険会社のレジリエンスを評価するための基盤を構築することであり、主にそのようなシナリオがもたらす財務的影響に焦点を当てる。本稿では、主に2 つの側面について詳しく説明する:
Cyber resilience, intended as the capability of an insurance undertaking to sustain the financial effect of an adverse cyber-event. The economic impacts should be informed by more operational oriented data on a firm’s capability to restore its operations at a sufficient level and in a time horizon which do not generate potential systemic effects on the financial sector and eventually on the real economy; サイバー・レジリエンスとは、保険事業者が不利なサイバー事象による財務的影響を維持する能力である。経済的影響は、金融部門、ひいては実体経済にシステミックな影響を及ぼさないような十分な水準と時間軸で業務を復旧させる会社の能力に関する、より業務指向のデータによって知らされるべきである;
Cyber underwriting risk, intended as the capability of an insurance undertaking to sustain by a capital and solvency perspective the financial impact of the materialization of an extreme but plausible adverse cyber scenario impacting the insurance coverages contained in the liability portfolios. サイバー保険引受リスクとは、保険会社が資本と支払能力の観点から、賠償責任ポートフォリオに含まれる保険カバーに影響を与える、極端だがもっともらしい不利なサイバーシナリオの実現による財務的影響を維持する能力を意味する。
The purpose of the paper is two-fold. Firstly, it sets the stage for a discussion on the assessment of the exposure of insurers towards cyber risk. Secondly, it lays down the approaches to design and operationalise a cyber risk assessment in the context of the EIOPA bottom-up stress testing framework. The paper benefits from the engagement with stakeholders during a public consultation that took place between November 2022 and February 2023. 本稿の目的は2つある。第一に、サイバーリスクに対する保険会社のエクスポージャーのアセスメントに関する議論の舞台を整えることである。第二に、EIOPAのボトムアップストレステストフレームワークの文脈におけるサイバーリスクアセスメントを設計し、運用するためのアプローチを示している。本ペーパーは、2022年11月から2023年2月にかけて実施されたパブリックコンサルテーションにおける利害関係者とのエンゲージメントから得られたものである。

 

・[PDF]

20230907-65107

・[DOCX] 仮訳

 

目次...

1  Introduction 1 はじめに
2  Cyber risk for insurers 2 保険会社のサイバーリスク
2.1  Cyber risk: main concepts 2.1 サイバーリスク:主な概念
2.2  Cyber resilience: insurers as direct targets of cyber attacks 2.2 サイバー・レジリエンス:サイバー攻撃の直接の標的としての保険会社
2.2.1  Motivation of cyber attacks against insurers 2.2.1 保険会社に対するサイバー攻撃の動機
2.2.2  Perpetrators of cyber attacks against insurers 2.2.2 保険会社に対するサイバー攻撃の加害者
2.2.3  Types of cyber attacks against insurers 2.2.3 保険会社に対するサイバー攻撃の種類
2.2.4  Impact of cyber attacks against insurers 2.2.4 保険会社に対するサイバー攻撃の影響
2.3  Cyber underwriting: insurers exposed through underwritten products 2.3 サイバー保険引受保険会社は引受商品を通じてリスクにさらされる
2.3.1  Cyber insurance market 2.3.1 サイバー保険市場
2.3.2  Affirmative cyber 2.3.2 明示的サイバー
2.3.3  Silent cyber 2.3.3 黙示的サイバー
2.3.4  Accumulation risk 2.3.4 蓄積リスク
3  Key assumptions 3 主要前提
4  Scope 4 スコープ
4.1  Criteria 4.1 基準
5  Scenarios 5 シナリオ
5.1  Scenario selection 5.1 シナリオ選択
5.2  Scenario narratives and specifications 5.2 シナリオシナリオと仕様
5.2.1  Data Center/Infrastructure Damage (cloud outage) 5.2.1 データセンター/インフラ被害(クラウド停止)
5.2.2  Ransomware 5.2.2 ランサムウェア
5.2.3  Denial of Service (DoS) 5.2.3 サービス拒否
5.2.4  Data Breach 5.2.4 データ漏洩
5.2.5  Power outage 5.2.5 停電
5.3  Scenarios not retained for the purpose of this paper 5.3 本稿の目的のために保持していないシナリオ
6  Cyber underwriting: shocks, specifications and metrics 6 サイバー・アンダーライティングショック、スペック、指標
6.1  General guidance 6.1 一般指導
6.2  Shocks 6.2 ショック
6.3  Metrics 6.3 測定基準
6.4  Examples of applications 6.4 応用例
6.4.1  Ransomware 6.4.1 ランサムウェア
6.4.2  Cloud outage 6.4.2 クラウド停止
6.4.3  Power Outage 6.4.3 停電
6.5  Silent cyber: additional guidance 6.5 黙示的サイバー:追加ガイダンス
6.6  Data elements 6.6 データ要素
7  Cyber resilience: shocks, specifications and metrics 7 サイバー・レジリエンス:ショック、仕様、測定基準
7.1  General guidance 7.1 一般指導
7.2  Shocks 7.2 ショック
7.3  Metrics 7.3 測定基準
7.4  Examples of applications 7.4 応用例
7.4.1  Cloud outage 7.4.1 クラウド停止
7.4.2  Ransomware 7.4.2 ランサムウェア
7.4.3  Denial of Service (DoS) 7.4.3 サービス拒否
7.4.4  Data breach 7.4.4 データ漏洩
7.4.5  Power outage 7.4.5 停電
7.5  Data elements 7.5 データ・エレメント
8  Communication of results 8 結果の伝達
9  Annexes 9 附属書
9.1  ANNEX: Glossary of cyber risk terms 9.1 附属書:サイバーリスク用語集
9.2  ANNEX: MITRE ATT&CK 9.2 附属書:MITREアタック 
9.3  ANNEX: Cyber insurance coverages 9.3 附属書:サイバー保険の補償内容 
9.4  ANNEX: Example of data templates for cyber underwriting 9.4 附属書:サイバー保険引受のためのデータ・テンプレートの例
9.4.1  Example template for impact of cyber scenarios per product 9.4.1 製品ごとのサイバーシナリオの影響に関するテンプレートの例
9.4.2  Example template for impact of cyber scenarios per economic sector 9.4.2 経済分野ごとのサイバーシナリオの影響に関するテンプレートの例
9.4.3  Example template for accumulation exposure cyber insurance per IT service provider 9.4.3 ITサービス・プロバイダーごとの累積エクスポージャー・サイバー保険のテンプレート例

 

関連

ニッセイ基礎研究所

・2023.09.01 サイバーリスクへの保険会社の対応(欧州)-EIOPAのレポートの公表

・[PDF] サイバーリスクへの保険会社の対応(欧州)

 

Munichi Re

サイバー保険:リスクと動向 2021

 

 ・サイバーリスク

Munich Re Global Cyber Risk and Insurance Survey 2022

・[PDF]

20230907-94848

 

 

| | Comments (0)

2023.09.06

自工会/部工会・サイバーセキュリティガイドライン、解説書、チェックシートの改訂 (version2.1) (2023.09.01)

こんにんちは、丸山満彦です。

一般社団法人日本自動車工業会 (JAMA) 一般社団法人 日本自動車部品工業会 (JAPIA) が2020.03.31にVer0.9として公表した「自動車産業サイバーセキュリティガイドライン」と、それに合わせて「解説書」、「チェックシート」を改訂していますね。。。

ちなみに、2021.12.01にVer1.0となり、2022.04.01にVer1.0で策定した企業の規模によらず自動車産業全体が優先して実施すべき項目に加え、

・取り扱う情報によって標準的に目指す項目や最終到達点として目指すべき項目を追加策定し、

Ver2.0となり、今回の変更ですね。。。

今回の変更は、

・自己評価結果の提出方法のシステム化に伴い、入力項目の追加

・誤記修正

をしたとのことです。。。

英語版もあります。。。

 

一般社団法人日本自動車工業会 (JAMA)

・2023.09.01 自動車産業サイバーセキュリティガイドライン

付録:解説書

 

付録:チェックシート

自己評価したチェックシートの提出方法

| | Comments (0)

2023.09.05

カナダ 機械学習対応医療機器 (MLMD) の市販前ガイダンス(案) (2023.08.30)

こんにちは、丸山満彦です。

カナダが、機械学習対応医療機器 (MLMD) の市販前ガイダンス(案)を公表していますね。。。機械学習対応医療機器(MLMD)のMLに関する部分のガイダンスということで、MDのガイダンスに上乗せする感じですかね。。。

機械学習対応医療機器(MLMD)であっても、他と同じ変更管理計画(PCCP)が適用されるようですね。。。

機械学習対応医療機器(MLMD)
を設計、開発、評価、導入、維持する際には、GMLP(Good Machine Learning Practice)が重要であることには変わりはないようですね。。。

MLMDの申請時に提出する証拠には、製造者がどのように組織内でGMLPを採用し、製品ライフサイクル全体を通じてGMLPを実施したかの説明を含めなくてはならず、該当する場合、この記述は、PCCP変更プロトコルに従うことにより、PCCP変更記述が実現されることを保証するために実施された品質実務の概要を示すことになるようですね。。。

 

● Canada.ca - Health CanadaMedical devices - Guidance documents

・2023.08.30 Draft guidance: Pre-market guidance for machine learning-enabled medical devices

Fig1en

Good machine learning practice 優れた機械学習の実践
Good machine learning practice (GMLP) is important when designing, developing, evaluating, deploying and maintaining an MLMD. This helps to ensure safe, effective and high-quality medical devices. 適切な機械学習の実施(GMLP)は、MLMDを設計、開発、評価、導入、維持する際に重要である。これは、安全で効果的かつ高品質の医療機器を確保するのに役立つ。
The evidence provided with an application for an MLMD should include a description of how the manufacturer has adopted GMLP within the organization and implemented it throughout the product lifecycle. If applicable, this description should outline the quality practices implemented to ensure that the PCCP change description will be realized by following the PCCP change protocol. MLMDの申請時に提出するエビデンスには、製造業者がどのように組織内でGMLPを採用し、製品ライフサイクル全体を通じてGMLPを実施したかの説明を含めるべきである。該当する場合、この記述は、PCCP 変更プロトコルに従うことにより、PCCP 変更記述が実現されることを保証するために実施された品質慣行の概要を示すべきである。
Pre-determined change control plan: concept 事前決定変更管理計画:概念
A PCCP is the documentation intended to characterize a device and its bounds, the intended changes to the ML system, the protocol for change management and the change impacts. If included, a PCCP is considered part of the device design. PCCP は、装置及びその境界、ML システムに対する意図された変更、変更管理のためのプロト コル、及び変更の影響を特徴付けることを意図した文書である。PCCP が含まれる場合、PCCP は装置設計の一部とみなされる。
PCCPs should be risk-based and supported by evidence, take a total product lifecycle perspective and provide a high degree of transparency. PCCP はリスクベースであり、エビデンスに裏付けられ、製品ライフサイクルの総合的な観 点に立ち、高度な透明性を提供するものでなければならない。
All modifications listed in a PCCP must ensure that the device continues to operate within its intended use. Changes listed in a PCCP should not include changes to the medical conditions, purposes or uses of an MLMD. Such changes require a medical device licence amendment application prior to implementation. PCCPに記載されるすべての変更は、機器がその意図された用途の範囲内で引き続き動作することを保証するものでなければならない。PCCPに記載される変更には、MLMDの医学的条件、目的または用途の変更を含んではならない。このような変更は、実施前に医療機器許可の変更申請が必要である。
Appropriate changes to list in a PCCP include those where pre-authorization is necessary to address a known risk while upholding the benefits to the patient. An example of such a change would be the maintenance or improvement of performance to address the risk of ML performance degradation over time. This performance degradation can be due to changes to the environment, such as to the input data or the relationship between the input variables and the target variable. PCCPに記載される適切な変更には、患者にとっての利益を維持しつつ、既知のリスクに対処するために事前承認が必要な変更が含まれる。このような変更の例としては、ML の経時的な性能低下リスクに対処するための性能の保守又は 改善が挙げられる。この性能劣化は、入力データや入力変数とターゲット変数の関係などの環境の変化に起因することがある。
The use of a PCCP allows timely and ongoing management of risks while retaining high regulatory standards to ensure device safety and effectiveness. PCCPの使用により、装置の安全性と有効性を保証する高い標準を維持しながら、タイムリーで継続的なリスクマネジメントが可能となる。
Sex and gender-based analysis plus 性と性別に基づく分析プラス
Sex and gender-based analysis plus (SGBA Plus or GBA Plus) is an analytical process used to assess how a product or initiative may affect diverse groups of people. This process can be incorporated into the risk management approach used across the lifecycle of the device. 性及び性別に基づく分析プラス(SGBAプラス又はGBAプラス)は、製品又は構想が多様な集団にどのような影響を及ぼすかを評価するために用いられる分析プロセスである。このプロセスは、機器のライフサイクル全体で使用されるリスクマネジメント手法に組み込むことができる。
Evidence demonstrates that biological, economic and social differences between diverse groups of people contribute to differences in health risks and outcomes, their use of health services and how they interact with the health system. Integrating SGBA Plus throughout the lifecycle of a medical device will lead to more equitable health outcomes for Canada's diverse population. 多様な集団間の生物学的、経済的及び社会的差異が、健康リスクと転帰、医療サービスの利用及び医療制度との関わり方の差異に寄与していることを示す証拠がある。医療機器のライフサイクルを通じてSGBAプラスを統合することは、カナダの多様な人々にとって、より公平な健康結果をもたらすことにつながる。
Over the lifecycle of the MLMD, manufacturers should apply SGBA Plus and consider the unique anatomical, physiological and identity characteristics of patients. This includes: MLMDのライフサイクルを通じて、製造業者はSGBAプラスを適用し、患者固有の解剖学的、生理学的、およびアイデンティティの特徴を考慮すべきである。これには以下が含まれる:
・taking into consideration sex and gender, racial and ethnic minorities, elderly and pediatric populations, and pregnant people ・性別、人種、少数民族、高齢者、小児、妊娠者を考慮すること。
・collecting and analyzing disaggregated data on sub-populations in clinical studies, training data and test data, as appropriate ・臨床試験、トレーニングデータ、試験データにおいて、適宜、小集団に関する細分化されたデータを収集し、分析すること。
Design デザイン
Indications for use, intended use and contraindications 適応症、使用目的、禁忌
For any Class II, III or IV MLMD, the intended use or medical purpose should be made clear in the application. Provide all relevant information, including the following: クラスⅡ、Ⅲ又はⅣの MLMD については、申請書において、意図される使用又は医療目的を明 確にすること。以下を含むすべての関連情報を提供すること:
・the intended use and/or indications for use of the MLMD MLMDの使用目的及び/又は適応症
・the medical purpose (for example, diagnosis, treatment, monitoring) and the intended conditions, diseases or disorders 医療目的(例えば、診断、治療、モニタリング)及び対象となる状態、疾患又は障害
・the intended patient population 想定される患者集団
・the intended user 意図する使用者
・the intended use environment 意図する使用環境
・device function information, as applicable, including: 該当する場合、以下を含む装置機能情報:
・・software inputs ソフトウェア入力
・・software outputs ソフトウェア出力
・・an explanation of how the software output fits into the healthcare workflow ソフトウェア出力が医療ワークフローにどのように適合するかの説明
・・the clinical degree of autonomy 自律性の臨床的程度
・・・the capacity to perform a clinical function with no or limited clinical user intervention 臨床的ユーザーの介入なし、または限定的な介入で臨床機能を実行する能力
・contraindications 禁忌事項
・all known limitations すべての既知の制限事項
Device description 装置の説明
Provide a detailed description of the MLMD, including any ML systems used to achieve an intended medical purpose. Consider including the following information in the description of the device or software: 意図された医療目的を達成するために使用される ML システムを含め、MLMD の詳細な説明 を記載すること。装置又はソフトウェアの説明には、以下の情報を含めることを考慮すること:
・a statement that the device uses ML, which should also be included in the cover letter カバーレターにも記載すること。
・if applicable, a confirmation that the MLMD includes a PCCP, which should also be included in the cover letter 該当する場合、MLMD が PCCP を含んでいることの確認。
・a detailed description of the ML methods and ML training algorithms ML手法とML訓練アルゴリズムの詳細な説明
・・ML methods such as supervised learning, unsupervised learning, semi-supervised learning and reinforcement learning 教師あり学習、教師なし学習、半教師あり学習、強化学習などのML手法。
・・ML training algorithm(s) such as convolutional neural network, logistic regression, language models or support vector machines 畳み込みニューラルネットワーク、ロジスティック回帰、言語モデル、サポートベクターマシンなどのML学習アルゴリズム
・a description of the ML system output, intended users, how the output is intended to be used within the healthcare workflow and the clinical degree of autonomy MLシステムの出力、想定される利用者、出力が医療ワークフローの中でどのように利用されるか、臨床的な自律性の程度についての説明
・・the capacity to perform a clinical function with no or limited clinical user intervention ユーザーの介入なしに、あるいは限定的な介入で臨床機能を実行する能力
・an explanation of how the ML system works, the known factors influencing the output and the interpretation of the system behaviour, if available MLシステムがどのように機能するか、出力に影響を与える既知の要因、及びシステム動作 の解釈についての説明(もしあれば)。
・・for example, feature attributions to ML model predictions, how the outputs of the ML model are impacted by changing input properties, saliency maps 例えば、MLモデルの予測に対する特徴属性、MLモデルの出力が入力特性の変化によってどのような影響を受けるか、顕著性マップなど。
・descriptions of the following: 以下の記述:
・・required device input parameters, input specifications and source(s) of device input(s) 必要な機器入力パラメータ、入力仕様及び機器入力のソース
・・all compatible medical devices, including software and hardware versions ソフトウェアとハードウェアのバージョンを含む、互換性のあるすべての医療機器
・・hardware requirements (for example, CPU requirements, operating system) ハードウェア要件(例えば、CPU要件、オペレーティングシステム)。
Predetermined change control plan: content 所定の変更管理計画:内容
A PCCP consists of the following 3 components: PCCPは以下の3つの要素から構成される:
1. Change description 変更の説明
2. Change protocol 変更プロトコル
3. Impact assessment 影響評価
The detailed PCCP, if applicable to the device, should: 詳細な PCCP は、当該機器に適用される場合、以下のようにすべきである:
・be a standalone section in the submission, typically within either the 'device description' or 'software' section 申請書の独立したセクションであり、通常「デバイスの説明」または「ソフトウ ェア」のいずれかのセクションに含まれる。
・include references to any application information related to the PCCP that's outside of the PCCP section, such as in the labelling or evidence used to demonstrate safety and effectiveness 安全性及び有効性を証明するために使用される添付文書やエビデンスなど、PCCP のセ クション以外の PCCP に関連する申請情報への参照を含むこと。
・consider the information outlined in the following 3 sections 以下の 3 つのセクションに記載された情報を考慮すること。
Change description 変更説明
The change description is the documentation that characterizes the device and the proposed changes. It includes: 変更説明書は、当該機器及び提案された変更を特徴付ける文書である。これには以下が含まれる:
・a description of the initial baseline device design and performance as well as the design and performance envelope or limits over time: 最初のベースラインとなる装置の設計及び性能、並びに設計及び性能の経時的な包絡線又は限界の説明:
・・such as performance specifications and associated performance thresholds, inputs, outputs and relevant technical specifications 例えば、性能仕様及び関連する性能閾値、入力、出力及び関連する技術仕様などである。
・a list of specific changes to the MLMD that are proposed for pre-authorization that would otherwise be significant changes in the absence of an authorized PCCP 事前承認のために提案されるMLMDに対する具体的な変更のうち、承認されたPCCPがない 場合には重大な変更となるもののリスト。
・with each change listed, a detailed description of the following: リストアップされた各変更について、以下の詳細を記述すること:
・・motivation, rationale or trigger for the planned changes 計画されている変更の動機、根拠またはきっかけ
・・・for example, performance thresholds, scheduled time intervals, user feedback 例えば、性能の閾値、予定された時間間隔、ユーザからのフィードバックなど。
・・cause or source of the changes to the device 装置に対する変更の原因又はソース
・・・for example, re-training with new or appended data 例えば、新しいデータまたは追加データによる再トレーニングなど。
・・effect of the changes on the device 装置に対する変更の影響
・・・for example, modified performance, changes in device inputs or outputs 例えば、性能の変更、装置の入力または出力の変更などである。
・・where the changes apply 変更の適用範囲
・・・for example, uniformly across all marketed devices, non-uniformly across marketed devices based on unique characteristics of a clinical site or patient 例えば、市販されているすべての機器に一律に適用される場合、臨床現場又は患者 の固有の特性に基づいて市販されている機器に一律に適用されない場合などである。
・・who will make the changes 誰が変更を行うか
・・・for example, manufacturer, qualified clinical user, non-clinical user, patient, automatically by the software 例えば、製造者、資格を有する臨床ユーザー、非臨床ユーザー、患者、ソフトウ ェアが自動的に行う。
・・planned frequency of changes 予定される変更の頻度
・・any anticipated modifications to the device description, labelling, user interface 機器の説明、ラベル、ユーザーインターフェースに対する予想される変更
Change protocol 変更プロトコル
The change protocol describes the set of policies and procedures that control how changes, as outlined in the change description, will be implemented and managed. The protocol ensures ongoing safety and effectiveness. 変更手順書には、変更説明書に記載された変更がどのように実施され、管理されるかを 管理する一連の方針と手順が記載されている。プロトコールは、継続的な安全性と有効性を保証する。
Aspects of the change protocol that may need to be part of the licence application include plans for ongoing: ライセンス申請の一部とする必要のある変更プロトコルの側面には、継続的な計画が含まれる:
・Data management データ管理
・・may include, for example, plans for collecting, annotating, curating, validating, determining reference standard or ground truth, quality assurance データ管理には、例えば、収集、注釈付け、管理、検証、参照標準またはグラ ンドトゥルースの決定、品質保証に関する計画などが含まれる。
・Risk management リスクマネジメント
・・may include, for example, plans for ongoing risk identification, monitoring and response 例えば、継続的なリスクの特定、モニタリング及び対応計画などが含まれる。
・Modification procedures 修正手順
・・may include, for example, plans for re-training, learning techniques, update triggers, pre-update verification and validation methods, such as ML system performance validation and its impact on the performance of the MLMD if applicable 例えば、再トレーニング、学習技術、更新トリガー、ML システム性能検証のような更新前検証及び検証方法、及び該当する場合には MLMD の性能への影響に関する計画を含む。
・Update procedures 更新手順
・・may include, for example, version tracking and control such as traceability, ongoing documentation of the PCCP execution history, deployment plan, end-user communication plan, labelling update plan and user acceptance testing 例えば、トレーサビリティ、PCCP 実行履歴の継続的な文書化、展開計画、エンドユーザコミュニケーショ ン計画、ラベリング更新計画、ユーザ受入テストなどのバージョン追跡及び管理などが含まれる。
・Monitoring モニタリング
・・may include, for example, plans for post-update testing and performance monitoring, frequency of assessments and triggers for evaluation, statistical analysis plan, plans for device surveillance, complaint handling and reporting incidents 例えば、更新後の試験及び性能モニタリングの計画、評価の頻度及びトリガー、統計 分析計画、機器サーベイランスの計画、苦情ハンドリング及びインシデント報告などが含まれる。
・Corrective actions 是正措置
・・may include, for example, roll-back plans, backup and recovery procedures, retraining criteria and objectives, and customer communications 例えば、ロールバック計画、バックアップと復旧手順、再教育の基準と目標、顧客コミュニケーションなどが含まれる。
Each change in the change description should be clearly traceable to the relevant aspects of the change protocol (for example, through a traceability table). 変更説明の各変更は、変更プロトコルの関連する側面と明確に追跡可能でなければならない(例えば、トレーサビリティ表を通して)。
Impact assessment 影響アセスメント
The impact assessment outlines the potential influence and implications of the changes listed in the PCCP. It should consider: 影響アセスメントでは、PCCP に記載された変更の潜在的な影響と影響について概説する。以下の点を考慮する必要がある:
・the benefits and risks of implementing the PCCP and the risk controls in place PCCPを実施することによる利益とリスク、および実施されているリスク管理
・how the change protocol will continue to ensure the ongoing safety and effectiveness of the device 変更プロトコルが装置の継続的な安全性と有効性をどのように確保し続けるか。
・the collective impact of all proposed changes on the MLMD and the impacts on other elements of the clinical workflow, including on other medical devices 提案されたすべての変更が MLMD に及ぼす総体的な影響、及び他の医療機器を含む臨床ワー クフローの他の要素に及ぼす影響
Risk management リスクマネジメント
Manufacturers should conduct the necessary risk management and consider providing descriptions of: 製造業者は必要なリスクマネジメントを実施し、以下の説明をプロバイダに提供すること を検討すべきである:
・the risks identified for the MLMD and the associated risk controls in place to eliminate or reduce those risks MLMD について識別されたリスクと、それらのリスクを排除又は低減するために実施され ている関連するリスク管理。
・the technique used to perform the initial and ongoing risk assessment and the system used for risk level categorization and acceptability 初期及び継続的なリスクアセスメントの実施に使用された手法、並びにリスクレベルの分類 及び許容範囲に使用されたシステム
・the results of the risk assessment リスクアセスメントの結果
The following items, as applicable, should be considered in the risk analysis: 該当する場合、以下の項目をリスク分析において考慮すべきである:
・erroneous outputs 誤った出力
・・such as false positive or false negative results, or incorrect information for use in diagnosis or treatment 偽陽性又は偽陰性の結果、あるいは診断又は治療に使用するための不正確な情報な どの誤った出力。
・bias バイアス
・・note that SGBA Plus analysis may address some sources of unwanted bias SGBAプラス分析は、望ましくないバイアスのいくつかの原因に対処することができる。
・overfitting オーバーフィッティング
・・an issue that occurs when a model is fit to properties that are specific to the training examples (for example, random noise), resulting in a model that does not apply to the general problem it's meant to address 学習例(例えば、ランダムノイズ)に特有な特性にモデルを適合させた場合に発生する問題で、その結果、そのモデルが対処しようとする一般的な問題には適用されない。
・underfitting アンダーフィット
・・an issue that occurs when a model is not fit to all relevant properties of the population from the training examples, resulting in a model that does not apply to the general problem it's meant to address モデルが、訓練例から得られた母集団のすべての関連する性質に適合していない場合に発生する問題で、その結果、そのモデルが対処しようとする一般的な問題に適用されない。
・degradation of ML system performance MLシステムの性能低下
・・an issue that can occur due to shifts in population demographics or disease incidence, changes in clinical practice, changes in clinical disease presentation, changes in input format or quality 人口統計や疾患インシデントの変化、臨床診療の変化、疾患の臨床像の変化、入力形式や品質の変化により起こりうる問題である。
・automation bias 自動化バイアス
・・an issue that occurs when a user's conclusion is overly reliant on the device output while ignoring contrary data or conflicting human decisions ユーザーの結論が装置の出力に過度に依存する一方で、反対データや相反する人間の判断を無視する場合に発生する問題
・alarm fatigue アラーム疲労
・・an issue that occurs when a user is desensitized to alarms due to excessive exposure, which can result in missed alarms ユーザーが過剰なエクスポージャーによりアラームに鈍感になり、アラームを見逃す場合に発生する問題である。
・risks associated with using a PCCP PCCPの使用に伴うリスク
・impacts of a PCCP on risk management PCCPがリスクマネジメントに与える影響
When performing the risk management for an MLMD, consider referring to the current version of the following resource: MLMDのリスクマネジメントを行う際には、以下の資料の最新版を参照することを考慮すること:
ISO 14971, Medical devices - Application of risk management to medical devices ISO14971「医療機器-医療機器へのリスクマネジメントの適用」を参照すること。
Data selection and management データの選択と管理
When describing the selection and management of data for an MLMD, consider providing the following elements: MLMD のデータの選択及び管理について記述する場合には、以下の要素をプロバイダとして提 供することを考慮すること:
・descriptions of the training, tuning and test datasets used to develop and evaluate the ML system, such as: ML システムの開発及び評価に使用されるトレーニング、チューニング及びテストデータセットの 記述:
・・sample sizes with and without the condition, clinical characteristics and demographic statistics 症状の有無、臨床的特徴、人口統計学的統計のサンプル数。
・・a comparison between the prevalence within the dataset and the intended population データセット内の有病率と対象集団の比較
・・methods and environments in which the data were collected データを収集した方法と環境
・・data collection devices データ収集装置
・・single versus multi-centre data, personalized data 単一データか多施設データか、個人データか。
・・justifications to support the dataset characteristics, for example, according to: データセットの特徴を裏付ける正当な理由:
・・・their relation to the intended use 使用目的との関係
・・・statistical considerations 統計的考察
・・・identity factors (such as sex, gender, race or age) アイデンティティ要因(性別、人種、年齢など)
・・・consideration of subgroups, such as vulnerable or under-represented populations 脆弱性や代表者不足などのサブグループへの配慮
・data inclusion and exclusion criteria and a justification for removing any data データの包含基準および除外基準、ならびにデータ削除の正当性
・descriptions of techniques used to address data imbalances (for example, specific sampling methods used to address a dataset that has low disease prevalence) and a justification データの不均衡に対処するために使用した技術(例えば、疾患の有病率が低いデータセットに対処するために使用した特定のサンプリング方法)の説明とその正当性
・a description of how data integrity was maintained during curation and how data quality and accuracy were ensured, including a description of any data augmentation practices データ管理中にどのようにデータの完全性が維持され、どのようにデータの質と正確性が 確保されたかの説明(データの補強方法の説明を含む)。
・・for example, geometric transformations intended to enhance the size and quality of datasets 例えば、データセットのサイズと質を向上させるための幾何学的変換などである。
・an explanation of how bias in the dataset was controlled during development 開発中にデータセットのバイアスがどのように制御されたかを説明すること。
Development, training and tuning 開発、トレーニング、チューニング
Consider providing descriptions of the ML development, training and tuning approaches, including the following elements: MLの開発、トレーニング、チューニングのアプローチについて、以下の要素を含む説明をプロバイダとして提供することを検討する:
・a detailed description of the methods used to develop, train and tune the ML system and a justification to support these methods MLシステムの開発、訓練、チューニングに使用された手法の詳細な説明と、これらの手法を支持する正当な理由。
・a characterization of the reference standard used in training and tuning, including: トレーニング及びチューニングに使用される参照標準の特徴:
・・the process and methodology used to define the reference standard 標準を定義するために使用されたプロセスと方法論。
・・a justification to support the chosen reference standard 選択された標準を裏付ける正当な理由。
・・a description of the uncertainty and associated limitations 不確実性と関連する限界の説明
・a description of the inputs and parameters used to develop the ML system and any features extracted from the input data MLシステムの開発に使用された入力とパラメータ、および入力データから抽出された特徴の説明。
Testing and evaluation 試験と評価
Consider including the following information on ML system performance testing as part of the performance/bench testing or software verification and validation: 性能/ベンチテスト又はソフトウェアの検証及び妥当性確認の一部として、ML システムの性能テス トに関する以下の情報を含めることを検討すること:
・a description of the methods used to test or evaluate the ML system performance ML システムの性能をテストまたは評価するために使用された方法の説明。
・a characterization of the reference standard used in testing, including: テストに使用された標準の特徴:
・・the process and methodology used to define the reference standard 標準を定義するために使用されたプロセスと方法論。
・・a justification to support the chosen reference standard 選択された標準を裏付ける正当な理由。・・
・a description of the uncertainty and associated limitations 不確かさと関連する限界の説明
・descriptions of the chosen performance metrics, acceptance criteria and operating point/threshold, with clinical and risk-based justifications 選択された性能測定基準、受入基準及び動作点/閾値の説明と、臨床的及びリスクに基づく 正当化。
・evidence to demonstrate that the ML system performs as intended and meets expected performance requirements when integrated as part of the medical device system or software 医療機器システム又はソフトウェアの一部として統合された場合に、ML システム が意図したとおりに機能し、期待される性能要件を満たすことを示す証拠
・evidence to support the performance of the ML system for appropriate subgroups, including at the relevant intersections, for example according to: 関連する交差点を含む適切なサブグループに対する ML システムの性能を裏付ける証拠:
・・identity factors (such as sex, gender, race, age) アイデンティティ要因(性別、人種、年齢など)
・・vulnerable populations 脆弱性集団
・・under-represented populations 代表者の少ない集団
・・clinical status (such as diagnosis, stage, grade) 臨床状態(診断、病期、悪性度など)
・・clinical features (such as tissue density, lesion type, co-occurrence of conditions) 臨床的特徴(組織密度、病変のタイプ、病態の併発など)
・evidence to support inter-compatibility with all supported input and output devices 対応するすべての入出力装置との相互互換性を裏付ける証拠
・robustness testing 堅牢性試験
・・for example, intentional testing with unexpected inputs 例えば、予期しない入力を用いた意図的なテストなど
・estimate of the uncertainty of the outputs, with supporting evidence and a justification to support the method used to determine the uncertainty 出力の不確かさの推定値。不確かさを決定するために使用された方法を裏付ける根拠と正当な理由。
・the ML software version that was tested, which should represent the appropriate release version テストされたMLソフトウェアのバージョン(適切なリリースバージョンを代表するものであること。
・an explanation of the software version numbering system and the identification and traceability of the ML system or model version ソフトウェアのバージョン番号システムの説明、及びMLシステム又はモデルのバージョンの識別とトレーサビリティ。
Clinical validation 臨床的バリデーション
In a medical device licence application for a Class III or IV MLMD, manufacturers should provide the appropriate clinical evidence, including clinical validation studies, to support the safe and effective clinical use of their device. This information should be available upon request for Class II MLMD. クラスIIIまたはクラスIVのMLMDの医療機器許可申請において、プロバイダは、機器の安全かつ効果的な臨床使用を裏付けるために、臨床検証試験を含む適切な臨床エビデンスを提供すべきである。この情報は、クラスⅡのMLMDについては、要求に応じて入手可能であるべきである。
For more information on clinical evidence requirements, consult: 臨床エビデンス要件の詳細については、以下を参照のこと:
Guidance on clinical evidence requirements for medical devices 医療機器の臨床エビデンス要件に関するガイダンス
Companion document: Examples of clinical evidence requirements for medical devices 付属文書 医療機器の臨床エビデンス要件の例
The clinical evidence should support that the trained, tuned and tested ML system, and the MLMD with that ML system, is safe and effective and performs as intended in the intended population. 臨床エビデンスは、訓練され、調整され、試験された ML システム及びその ML システムを備えた MLMD が、安全かつ有効であり、意図された集団において意図されたとおりに機能することを裏付けるものでなければならない。
Examples of clinical evidence that can be used include: 使用できる臨床エビデンスの例としては、以下が挙げられる:
・clinical validation studies, including descriptions of: 臨床的検証試験(以下の説明を含む:
・・the type of study performed 実施された試験の種類
・・the study design and statistical methods 試験デザインと統計的手法
・・the rationale for the study and methods, including the use of retrospective and/or prospective evaluations レトロスペクティブ及び/又はプロスペクティブ評価の使用を含む、試験及び方法の 根拠。
・・a characterization of study participants and confirmation that the study population is independent of the data used for ML system development, training and tuning 研究参加者の特徴と、研究集団がMLシステムの開発、トレーニング、チューニングに使用されるデータから独立していることの確認。
・・the rationale for the study population, which may include: 研究集団の根拠(以下を含む):
・・・the relation to the intended use 使用目的との関係
・・・the representation across sex, gender, race, age and/or other identity factors 性、性別、人種、年齢、及び/又はその他のアイデンティティ要因における代表性。
・・statistical considerations 統計的考察
・・study results 研究結果
・relevant clinical data from published sources 公表された情報源からの関連臨床データ
・device-related investigations 機器関連の調査
・・for example, comparator device clinical data 例えば、比較対象機器の臨床データ
・usability/human factors testing ユーザビリティ/ヒューマンファクター試験
・device-specific evaluations 機器固有の評価
・real-world evidence (RWE) and post-market clinical experience リアルワールドエビデンス(RWE)及び市販後の臨床経験
The clinical evidence should accompany a justification to support the level of evidence. This justification should establish that the evidence is sufficient to demonstrate: 臨床エビデンスには、エビデンスレベルを裏付ける正当な理由を添付すること。この正当化は、エビデンスが以下を実証するのに十分であることを立証するものでなければならない:
・the device is safe and effective for the intended population when used as described in the 'intended use' or 'indications for use' statement 使用目的」または「適応症」に記載されたとおりに使用された場合、その医療機器は意図され た集団に対して安全かつ有効である。
・as appropriate, the impacts of the device on different sexes, genders and diverse populations, including racial and ethnic groups, and pediatric and older populations 必要に応じて、異なる性別、ジェンダー、人種・民族集団、小児集団、高齢者集団を含む多様な集団に対す る当該医療機器の影響を示すこと。
Transparency 透明性
Transparency requirements should consider the various stakeholders involved in a patient's healthcare across the lifecycle of the device (for example, patients, users, healthcare providers and regulators). 透明性の要件は、機器のライフサイクルを通じて患者のヘルスケアに関わる様々な利害関係者(例えば、患者、ユーザー、医療プロバイダ、規制当局)を考慮すべきである。
Transparency should be considered throughout the device lifecycle, including in the: 透明性は、以下を含む機器のライフサイクル全体を通じて考慮されるべきである:
・design of the device, including: 以下を含む機器の設計
・・the ML system, software user interface, labelling and, if applicable, the PCCP MLシステム、ソフトウェアのユーザーインターフェイス、ラベリング及び該当する場合はPCCPを含む。
・medical device licence application 医療機器ライセンス申請
・device marketing 機器の販売
・device use 機器の使用
The following subsection outlines transparency considerations for MLMD labelling for the end-user. 次の小項目では、エンドユーザーに対するMLMDのラベリングに関する透明性への配慮を概説する。
Labelling ラベリング
Manufacturers should provide copies of the directions for use or instructions for use for the device, including those pertaining to the ML system. Health Canada will review the labels against the requirements outlined in sections 21, 22 and 23 of the regulations. 製造業者は、MLシステムに関連するものを含め、機器の使用説明書又は使用指示書の写しを提供す べきである。カナダ保健省は、規則第 21 条、第 22 条及び第 23 条に概説された要件に照らし合わせてラベルを審査する。
The following ML system information should be considered for inclusion in MLMD labelling, as applicable: 以下のMLシステム情報は、該当する場合、MLMDラベルに含めることを検討すべきである:
indications for use, intended use and contraindications (refer to the section under Design) 適応症、使用目的及び禁忌(設計の項を参照のこと。)
instructions for the user, such as: 次のような使用者に対する指示
・how to use the ML system software to generate an output 出力を生成するためのMLシステムソフトウェアの使用方法
・how to interpret the software interface, including: ソフトウェアインターフェースの解釈方法:
・・the ML system output and any information provided to help users interpret each output (for example, saliency maps and confidence scores) MLシステムの出力と、ユーザが各出力を解釈するために提供される情報(例えば、顕著性マップや信頼度スコア)。
・・how to perform calibrations, local validation and ongoing performance monitoring キャリブレーション、ローカルバリデーション、および継続的な性能モニタリングの実行方法。
・device design information, such as: 以下のような装置設計情報:
・・a statement that the device includes ML デバイスがMLを含むという声明
・・how the ML system works, for example: MLシステムがどのように機能するか:
・・・ML approaches MLのアプローチ
・・・feature attributions to ML model predictions, factors influencing the output, if available MLモデルの予測に対する特徴、出力に影響を与える要因(もしあれば)。
・・required device input parameters, input specifications and source(s) of device input(s) 必要な装置入力パラメータ、入力仕様、及び装置入力の出所。
・・compatible medical devices, including software and hardware versions ソフトウェアとハードウェアのバージョンを含む互換性のある医療機器
・・hardware and software requirements (for example, CPU requirements, operating system) ハードウェアとソフトウェアの要件(CPU要件、オペレーティングシステムなど)
・・dataset characterizations of training and test datasets, such as: トレーニングデータセットとテストデータセットの特徴:
・・・data collection environment/method データ収集環境/方法
・・determination of reference standard 参照標準の決定
・・・sample sizes with and without the condition, clinical characteristics, demographic statistics 症状の有無、臨床的特徴、人口統計学的統計のサンプルサイズ
・・・inclusion/exclusion criteria 包含/除外基準
・・PCCP information, if applicable, such as: 該当する場合、以下のようなPCCP情報:
・・・a statement that the device includes a PCCP 当該機器に PCCP が含まれている旨の記述
・・・the intended changes and expected update frequency 意図される変更及び予想される更新頻度
・・・any requirements for the user to perform software updates ユーザーがソフトウェア更新を実施するための要件
・・・when a software update occurs and how it impacts the device performance, inputs, labelling or use (for example, how to obtain updated labelling or how improved performance will be communicated to them) ソフトウェアの更新がいつ行われ、それが装置の性能、入力、ラベリング又は使用にど のような影響を与えるか(例えば、更新されたラベリングの入手方法又は性能の向上 がどのようにユーザーに通知されるか)。
・device performance information, such as: 以下のような装置性能情報:
・・chosen performance metrics and acceptance criteria as well as the operating point/threshold 選択された性能測定基準および受入基準、ならびに動作点/閾値
・・detailed results of the performance testing, including results for appropriate subgroups and the performance uncertainty (for example, confidence intervals) 適切なサブグループに対する結果及び性能の不確実性(信頼区間など)を含む性能試験の詳細な結果。
・・summaries of clinical studies, if applicable, including detailed characterization of the study participants, methods and results 臨床試験の概要(該当する場合):試験参加者、方法、結果の詳細な特徴を含む。
・device limitation information, such as: 以下のような装置の制限情報:
・・data characterization limitations データ特性の限界
・・limitations in the development techniques 開発技術における限界
・・limitations in the performance evaluation 性能評価における限界
・・known failure modes 既知の故障モード
・・・applicable warnings or cautions related to the ML system MLシステムに関連する該当する警告や注意事項
Product brochures, websites and marketing material with claims related to the ML system should also be provided, as these are also considered labelling. 製品パンフレット、ウェブサイト、MLシステムに関連する主張を含むマーケティング資料も、表示とみなされるため、プロバイダが提供する必要がある。
Post-market performance monitoring 市販後の性能モニタリング
Manufacturers should consider including a description of the processes, surveillance plans and risk mitigations in place to ensure ongoing performance and inter-compatibility of the ML system. 製造業者は、ML システムの継続的な性能及び相互適合性を確保するために実施されているプ ロセス、監視計画及びリスク軽減策についての説明を含めることを検討すべきである。
This should consider the impact on ML system outputs or clinical workflows that could result from potential changes in the inputs to the ML model, changes to how the ML system outputs are handled by compatible products or any other relevant information. This may be addressed as part of the risk analysis and the PCCP, if applicable. これは、MLモデルへの入力の潜在的な変更、互換製品によるMLシステム出力の処理方法の変 更、又はその他の関連情報によって生じ得るMLシステム出力又は臨床ワークフローへの影 響を考慮すべきである。これは、該当する場合には、リスク分析及び PCCP の一部として扱われる。
Terms and conditions 諸条件
Terms and conditions (T&Cs) may be imposed on some medical device licences. This can help ensure that the device continues to meet the applicable safety and effectiveness requirements of the regulations after it's been approved. 一部の医療機器ライセンスには使用条件(T&C)が課されることがある。これは、承認後もその医療機器が規制の適用される安全性と有効性の要件を満たしていることを保証するのに役立つ。
As per section 36(2) of the regulations, the Minister may impose T&Cs requiring: 規則第36条(2)に従い、大臣は以下を要求するT&Cを課すことができる:
・tests to be performed on a device to ensure it continues to meet applicable safety and effectiveness requirements 適用される安全性及び有効性要件を引き続き満たしていることを確認するために機器に対して実施される試験
・submission of the results and protocols of any tests performed 実施された試験の結果とプロトコルの提出
As per subsection 36(3) of the regulations, the Minister may amend T&Cs imposed on a medical device licence to take into account any new development with respect to the device. 規則第36条(3)に従い、大臣は、医療機器に関する新たな開発を考慮するため、医療機器ライセンスに課されるT&Cを修正することができる。
The holder of a medical device shall comply with T&Cs of the licence as per subsection 36(4). 医療機器の保有者は、第 36 項(4)に従い、ライセンスの T&C を遵守しなければならない。
The level of risk, uncertainty and/or complexity of a specific situation will be considered when imposing or amending T&Cs, and when determining requirements for individual T&Cs. 特定の状況のリスク、不確実性及び/又は複雑性のレベルは、T&Cの賦課又は修正、並びに個々のT&Cの要件を決定する際に考慮される。

 

 

 

| | Comments (0)

2023.09.04

NIST IR 8472(初期公開ドラフト) 非代替性トークン (NFT) のセキュリティ (2023.08.31)

こんにちは、丸山満彦です。

NISTが、非代替性トークン (NFT) のセキュリティをについてのIRのドラフトを公表していますね。。。

うまく社会的に実装すれば、社会的に役立つような技術であっても、初期ユーザが自分の目先の利益に走りすぎてマーケット自体をつぶしてしまっているようなケースもあるのかもしれません。。。

まぁ、でも、普及しないということは、理屈上はそう考えられ得ても、実際の社会的ニーズが高くないのかもしれません(機能+安全とかの総合判断で...)

 

 

NIST - ITL

・2023.08.31 NIST IR 8472 (Initial Public Draft) Non-Fungible Token Security

NIST IR 8472 (Initial Public Draft) Non-Fungible Token Security NIST IR 8472(初期公開ドラフト) 非代替性トークンのセキュリティ
Announcement 発表
Non-fungible token (NFT) technology provides a mechanism to sell and exchange both virtual and physical assets on a blockchain. While NFTs are most often used for autographing digital assets (associating one’s name with a digital object), they utilize a strong cryptographic foundation that may enable them to regularly support ownership-transferring sales of digital and physical objects. For this, NFT implementations need to address potential security concerns to reduce the risk to purchasers. 非代替性トークン(NFT)技術は、ブロックチェーン上で仮想資産と物理資産の両方を販売・交換する仕組みを提供する。NFTはデジタル資産の自署(デジタルオブジェクトに自分の名前を関連付けること)に使用されることが最も多いが、強力な暗号基盤を利用することで、デジタルオブジェクトと物理オブジェクトの所有権移転販売を定期的にサポートできる可能性がある。このため、NFTの実装は潜在的なセキュリティ上の懸念に対処し、購入者のリスクを軽減する必要がある。
This publication: 本書
・Describes NFT technology ・NFT技術について説明する。
・Identifies 11 properties that should be provided by most correctly functioning and secured NFT implementations ・正しく機能し、セキュリティが確保されたNFT実装の多くが備えるべき11の機能を識別する。
・Discusses 27 potential security issues ・潜在的なセキュリティ上の課題27 について説明する。
NIST requests feedback on the technical description, the properties for NFT implementations, the security analysis of those properties, and the enumeration of the potential security issues. NISTは、技術的説明、NFT実装の特性、これらの特性のセキュリティ分析、および潜在的なセキュリティ問題の列挙に関するフィードバックを求めている。
Abstract 概要
Non-fungible token (NFT) technology provides a mechanism to enable real assets (both virtual and physical) to be sold and exchanged on a blockchain. While NFTs are most often used for autographing digital assets (associating one’s name with a digital object), they utilize a strong cryptographic foundation that may enable them to regularly support ownership-transferring sales of digital and physical objects. For this, NFT implementations need to address potential security concerns to reduce the risk to purchasers. This publication explains NFT technology and then identifies and discusses a list of 27 potential security issues. All of the identified issues can be addressed through use of a systematic security approach that promotes a secure design and implementation. 非代替性トークン(NFT)技術は、ブロックチェーン上で実物資産(仮想資産と実物資産の両方)を売買・交換できる仕組みを提供する。NFTは、デジタル資産へのサイン(デジタルオブジェクトに自分の名前を関連付けること)に使用されることが最も多いが、強力な暗号基盤を利用することで、デジタルオブジェクトや物理オブジェクトの所有権移転販売を定期的にサポートできる可能性がある。このため、NFTの実装では潜在的なセキュリティ上の懸念に対処し、購入者のリスクを軽減する必要がある。本書では、NFT 技術を説明した上で、27 の潜在的なセキュリティ問題を特定し、議論する。識別された問題はすべて、安全な設計と実装を促進する体系的なセキュ リティ・アプローチを用いることで対処できる。

 

・[PDF] NIST.IR.8472.ipd

20230904-101411

 

目次...

1. Introduction 1. 序文
1.1. Scope 1.1. 範囲
2. Background 2. 背景
2.1. Blockchains 2.1. ブロックチェーン
2.2. Smart Contracts 2.2. スマート・コントラクト
2.3. Tokens 2.3. トークン
3. Definition, Properties, and Security Evaluations 3. 定義、特性、セキュリティ評価
3.1. NFT Definition 3.1. NFTの定義
3.2. NFT Properties 3.2. NFTの特性
3.3. Security Evaluation of NFT Properties 3.3. NFT特性の安全性評価
3.3.1. Contract-Provided Properties 3.3.1. 契約プロバイダのプロパティ
3.3.2. Blockchain-Provided Properties 3.3.2. ブロックチェーンが提供するプロパティ
3.3.3. Human Management-Provided Properties 3.3.3. 人的管理が提供するプロパティ
4. List of Potential Security Concerns 4. 潜在的なセキュリティ懸念のリスト
5. Token Standards 5. トークン標準
5.1. ERC-20: Fungible Token Standard 5.1. ERC-20: 代替性トークン標準
5.2. ERC-721: Non-Fungible Token Standard 5.2. ERC-721:非代替性トークン標準
5.3. Other NFT Standards 5.3. その他のNFT標準
6. Marketplaces and Exchanges 6. マーケットプレイスと取引所
7. Conclusion 7. 結論
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書A. 記号、略語、頭字語のリスト
Appendix B. Fractional Token Example 附属書B. 分数トークンの例

 

NFT実装で備えるべき11の機能...

3.2. NFT Properties 3.2. NFTの特性
The following non-exhaustive set of NFT properties can be derived from this definition. Most correctly functioning and secured NFT implementations will contain these properties (see Section 3.3 for caveats to this). この定義から、以下の非網羅的なNFT特性のセットを導き出すことができる。正しく機能し、安全が確保されたNFTの実装の大半はこれらの特性を含む(この点に関する注意点については第3.3節を参照)。
1. Owned: NFTs designate ownership by recording a blockchain address. 1. 所有: NFTはブロックチェーンアドレスを記録することで所有権を示す。
2. Transferable: Owners and designated approved entities can transfer the ownership of NFTs to other addresses. 2. 譲渡可能: 所有者および指定承認事業体は、NFTの所有権を他のアドレスに譲渡できる。
3. Indivisible: NFTs cannot be subdivided (although the ownership may be fractionalized). 3. 不可分: 分割不可:NFTを分割することはできない(ただし、所有権の端数処理は可能)。
4. Linked: NFTs have references to the asset that they represent. 4. リンクされている: NFTは、それが代表する資産への参照を有する。
5. Recorded: NFTs are smart contract data records stored on a blockchain. 5. 記録:NFTはブロックチェーン上に保存されたスマートコントラクトのデータ記録である。
6. Provenance: NFTs have their chain of ownership recorded. 6. 証明: NFTには所有権の連鎖が記録されている。
7. Permanence: NFTs are normally indestructible (although some are designed to be burned). 7. 永続性: 通常、NFTは破壊不可能である(ただし、焼却を想定したものもある)。
8. Immutable: The asset that an NFT represents cannot be modified. 8. 不変: NFTが表す資産は変更できない。
9. Unique: Each NFT represents a unique asset. 9. 一意である: 各NFTは固有の資産を表す。
10. Authentic: Each NFT asset is what the NFT claims it to be (e.g., artwork from a particular artist). 10. 本人認証: 各NFTの資産は、NFTが主張するとおりのものである(例えば、特定のアーティストの作品)。
11. Authorized: Each NFT asset has been authorized by an owner to be sold as an NFT. 11. 承認されている: 各NFTアセットが、NFTとして販売されることを所有者から承認されていること。

 


セキュリティ上の27の課題...

4. List of Potential Security Concerns 4. 潜在的セキュリティ懸念のリスト
This section lists 27 potential security concerns that can exist with NFT ownership and smart contract management of tokens. The identified security concerns are organized by NFT property.

本セクションでは、トークンのNFT所有権およびスマートコントラクト管理について、潜在的なセキュリティ上の懸念を27項目挙げている。識別されたセキュリティ上の懸念はNFTのプロパティ別に整理されている。
Owned (Section 3.3.1.1) 所有(セクション3.3.1.1)
1. An NFT purchaser may be deceived into thinking that they are purchasing an asset instead of a smart contract data record that contains a reference to the asset (possibly conferring no rights over the asset at all). 1. NFTの購入者は、アセットへの参照を含むスマートコントラクトのデータレコードではなく、アセットを購入しているかのように騙される可能性がある(アセットに対する権利が全く付与されない可能性もある)。
2. A smart contract may create a token linked to an asset without the legal authority to do so for that asset since, technically, anyone can create an NFT linked to anything. 2. スマートコントラクトはアセットにリンクしたトークンを、そのアセットに関する法的権限なしに作成する可能性がある。
3. If a blockchain account is compromised, the malicious actor can transfer all NFTs associated with that address to an address owned by the actor. 3. ブロックチェーンのアカウントが侵害された場合、悪意のある行為者はそのアドレスに関連するすべてのNFTを行為者が所有するアドレスに転送することができる。
4. Stolen tokens will likely be sold immediately by malicious actors for cryptocurrency, preventing easy restoration of the tokens even if a mechanism is available to do so. 4. 盗まれたトークンは悪意のある行為者によって暗号通貨で即座に売却される可能性が高く、トークンを簡単に復元できる仕組みがあったとしても、それを妨げる。
Transferable (Section 3.3.1.2) 譲渡可能(セクション3.3.1.2)
5. There is likely no smart contract mechanism to restore stolen tokens to their rightful owner. 5. 盗まれたトークンを正当な所有者に復元するスマートコントラクトメカニズムがない可能性が高い。
6. If a smart contract enables the contract manager to restore stolen tokens, this feature could be used by the manager to confiscate, freeze, or unilaterally transfer tokens. 6. スマートコントラクトが、コントラクトマネージャーが盗まれたトークンを復元することを可能にする場合、この機能は、トークンを没収、凍結、または一方的に移転するために、マネージャーによって使用される可能性がある。
7. A smart contract may not allow a manager to restore stolen tokens, but the smart contract may have a manager-controlled update mechanism whereby this feature could be added in the future (enabling the previously mentioned security concern). 7. スマートコントラクトは、管理者が盗まれたトークンを復元することを許可しないかもしれないが、スマートコントラクトは、将来この機能を追加することができる管理者制御の更新メカニズムを持つかもしれない(前述のセキュリティ上の懸念が可能になる)。
8. Coding errors in the smart contract could enable attackers to steal tokens and transfer them to their accounts. Indivisible (Section 3.3.1.3) 8. スマートコントラクトのコーディングミスにより、攻撃者がトークンを盗み、自分のアカウントに送金することが可能になる可能性がある。不可分(セクション3.3.1.3)
9. Fractional ownership increases the NFT attack surface by involving an additional thirdparty smart contract that handles the fractional ownership. 9. 分数所有権には、分数所有権を処理するサードパーティのスマートコントラクトが追加されるため、NFTの攻撃対象が増加する。
10. Owners of fractional shares may not be aware that they could lose their shares through a forced buyout. 10. 端数株式の所有者は、強制的な買い取りによって株式を失う可能性があることに気付かない可能性がある。
Linked (Section 3.3.1.4) リンクされている(セクション3.3.1.4)
11. Inaccurately stored metadata (either done maliciously or accidentally) can delink an NFT from the asset it represents and make it worthless. 11. 不正確に保存されたメタデータ(悪意によるものであれ、偶発的なものであれ)により、NFTとその代表者である資産とがリンクされ、NFTの価値が失われる可能性がある。
12. Server errors that make a digital asset unavailable (e.g., corrupted file, server failure, or storage service discontinuation) could effectively delink an NFT from the asset it represents and make it worthless. 12. デジタルアセットが利用できなくなるようなサーバーエラー(ファイルの破損、サーバーの故障、スト レージサービスの停止等)は、NFTとそのアセットを効果的にリンクさせ、その価値を失わせる可能性がある。
13. If the off-blockchain table linking NFT identifiers to URLs is compromised, an attacker could delink NFTs from their assets and/or change which NFTs represent which assets. 13. NFT識別子をURLとリンクさせるブロックチェーン外のテーブルが侵害された場合、攻撃者はNFTをアセットから切り離したり、どのNFTがどのアセットを表すかを変更したりすることができる。
14. If off-blockchain tables are used to link NFT identifiers to URLs, the owner of the table could use their access to delink NFTs and/or change which NFTs represent which assets. 14. ブロックチェーン外のテーブルがNFT識別子とURLの紐付けに使用されている場合、テーブルの所有者はそのアクセス権を使用してNFTの紐付けを解除し、及び/又はどのNFTがどの資産を表すかを変更することができる。
Recorded (Section 3.3.2.1) 記録(セクション3.3.2.1)
15. An NFT owner may not realize that their account and information on the NFTs that their account owns are public information on the associated blockchain. 15. NFTの所有者は、自己のアカウント及び自己のアカウントが所有するNFTの情報が関連ブロックチェーン上の公開情報であることに気付かない可能性がある。
16. While blockchain accounts are anonymous, they can be de-anonymized through account owner purchases that include personally identifying information (e.g., name and address). 16. ブロックチェーンのアカウントは匿名であるが、個人を特定できる情報(氏名や住所など)を含むアカウント所有者の購入により、匿名性を解除することができる。
Provenance (Section 3.3.2.2) 証明力(セクション3.3.2.2)
17. A blockchain could undergo an attack enabling changes to blockchain history (this is unlikely with established blockchains). Permanence (Section 3.3.2.3) 17. ブロックチェーンが攻撃を受け、ブロックチェーンの履歴が変更される可能性がある(確立されたブロックチェーンではこの可能性は低い)。永続性(セクション3.3.2.3)
18. An NFT may be burned (accidentally or maliciously) by sending it to an address no one has access to. 18. 誰もアクセスできないアドレスにNFTを送信することで、(偶発的または悪意を持って)NFTが焼失する可能性がある。
19. An NFT smart contract could self-destruct, destroying the managed NFTs. Immutable (Section 3.3.2.4) 19. NFTスマートコントラクトが自己破壊し、管理されたNFTが破壊される可能性がある。不変(セクション3.3.2.4)
20. If the smart contract code contains a vulnerability, the data records could be changed by a malicious actor. 20. スマートコントラクトのコードに脆弱性が含まれている場合、悪意のある行為者によってデータレコードが変更される可能性がある。
21. Blockchains are occasionally changed through participant consensus or have their chains split into distinct and different versions when consensus is not reached on resolving a major issue. 21. ブロックチェーンは参加者のコンセンサスによって変更されたり、重大な問題の解決にコンセンサスが得られない場合にチェーンが別個の異なるバージョンに分割されたりすることがある。
22. A blockchain split will result in the duplication of NFT contracts, which in turn results in NFT owners having the same NFTs on two blockchains. They could sell one and keep the other, causing significant issues for NFTs that convey ownership rights over their linked asset. 22. ブロックチェーンの分裂はNFT契約の重複を招き、その結果、NFT所有者は2つのブロックチェーン上に同じNFTを持つことになる。一方を売却し、もう一方を維持する可能性があり、リンクされた資産に対する所有権を伝えるNFTに重大な問題を引き起こす。
Unique (Section 3.3.3.1) 一意である(セクション3.3.3.1)
23. Buyers may not be aware that an exchange is selling the same NFT multiple times (e.g., permitting a limited number of autographs for video clips). 23. 買い手は、取引所が同じNFTを複数回販売していることに気付かない可能性がある(例:ビデオクリップに限定数のサインを許可する)。
24. The same asset (or copies with unperceivable changes to humans) could be sold simultaneously by multiple NFT exchanges or smart contracts. Authentic (Section 3.3.3.2) 24. 複数のNFT取引所やスマートコントラクトにより、同一のアセット(または人間には知覚できない変更を加えたコピー)が同時に販売される可能性がある。本人認証(3.3.3.2項)
25. An asset linked to an NFT may be a forgery or an authentic original artwork whose origin is misrepresented or attributed to a different creator (e.g., to increase its perceived value). 25. NFTにリンクされたアセットが贋作であったり、(価値を高めるために)出所が偽られたり、別のクリエイターに帰属する本物のオリジナル作品であったりする可能性がある。
Authorized (Section 3.3.3.3) 承認されている (セクション3.3.3.3)
26. The seller may not be authorized to sell an NFT linked to a particular asset. 26. 売主は特定の資産に関連するNFT を販売する権限を有していない場合がある。
27. The buyer may be deceived into not receiving the rights over the linked asset that they think they are obtaining by purchasing an NFT. 27. 買主は、NFT を購入することで得られると思っていたリンク先の資産に関す る権利を得られず、騙される可能性がある。

 

 

 

| | Comments (0)

ENISA 海底ケーブルのセキュリティ上の課題

こんにちは、丸山満彦です。

最近、なぜか海底ケーブルについての問い合わせ等がありました。。。みんな大好き海底ケーブルなんですかね。。。

ENISAが、海底ケーブルのセキュリティ上の課題についての文書を公開していますね。。。

そういえば、海底ケーブルといえば、慶應の土屋先生が昔から指摘していましたが、2年前のこの対談は今から読むと興味深いかもですね。。。

PwC

・2021.08.02 慶應義塾大学土屋教授と語る「サイバー空間における国家安全保障」

(これ以外にも、いろいろ興味深い対談があるので、是非...(^^) )


さて、ENISAの報告書です。

 

ENISA

・2023.08.31 Dive into the Deep Sea: A View of the Subsea Cable Ecosystem

Dive into the Deep Sea: A View of the Subsea Cable Ecosystem 深海に潜る: 海底ケーブルのエコシステムを見る
The European Union Agency for Cybersecurity (ENISA) publishes a report on the subsea cable ecosystem and highlights today’s major cybersecurity challenges. 欧州連合サイバーセキュリティ機関(ENISA)は、海底ケーブルのエコシステムに関する報告書を発表し、今日のサイバーセキュリティ上の主要な課題を明らかにした。
More than 97% of the world’s internet traffic passes through subsea cables at some point. Subsea cables are a vital component of the global internet infrastructure, and it is critical to protect them from cyberattacks, physical attacks and other threats. 世界のインターネットトラフィックの97%以上が海底ケーブルを経由している。海底ケーブルは世界のインターネット・インフラの重要な構成要素であり、サイバー攻撃や物理的攻撃、その他の脅威から海底ケーブルを守ることは極めて重要である。
What are the challenges? 課題は何か?
With the growing reliance on the internet, and the growing amounts of data being transmitted, subsea cable incidents could cause outages and disruptions. The cable landing stations as well as subsea areas, where many cables are close to each other are considered weak points. インターネットへの依存度が高まり、伝送されるデータ量が増大する中、海底ケーブルのインシデントが発生すれば、停電や混乱を引き起こす可能性がある。ケーブル陸揚げ局だけでなく、多くのケーブルが近接している海底エリアも弱点と考えられている。
The International Cable Protection Committee in its 2022 report concludes that most subsea cable incidents are accidental, due to anchoring and fishing. Some cable incidents are caused by natural phenomena like underwater earthquakes. In rare cases, system failures are responsible for incidents. 国際ケーブル防御委員会は2022年の報告書の中で、海底ケーブルの事故のほとんどは錨泊や漁業による偶発的なものだと結論付けている。海底地震のような自然現象によるインシデントもある。まれに、システムの故障がインシデントの原因となることもある。
Malicious actions such as sabotage attacks and espionage have to be considered also. Particularly, a coordinated sabotage attack on multiple cables at once could cause significant disruptions of internet connectivity. Repairing subsea cables is complex, takes a long time, and requires highly specialised cable repair ships, only few in the world. While eavesdropping on cables on the seabed is considered unlikely, accessing communications data at the cable landing stations or at cable landing points is feasible, and should be considered as a threat. 妨害攻撃やスパイ行為などの悪意ある行為も考慮しなければならない。特に、一度に複数のケーブルに対して組織的な妨害攻撃が行われた場合、インターネット接続に大きな支障をきたす可能性がある。海底ケーブルの修理は複雑で時間がかかり、世界に数隻しかない高度に専門化されたケーブル修理船を必要とする。海底ケーブルの盗聴は考えにくいが、ケーブル陸揚げ局やケーブル陸揚げ地点でのコミュニケーション・データへのアクセスは可能であり、脅威として考慮すべきである。
Global subsea cable ecosystem in a nutshell 世界の海底ケーブル・エコシステムの概要
・Subsea cables can fall under a wide range of regulatory regimes, laws and authorities. At national level, there may be several authorities involved in their protection, including national telecom authorities, authorities under the NIS Directive, cybersecurity agencies, national coastguard, military, etc. ・海底ケーブルは、幅広い規制体制、法律、当局の下に置かれる可能性がある。国レベルでは、国の電気通信当局、NIS指令に基づく当局、サイバーセキュリティ機関、国の沿岸警備隊、軍など、その保護に関わる複数の当局が存在する可能性がある。
・There are also international treaties in place to be considered, establishing universal norms and the legal boundaries of the sea, ・また、普遍的な規範と海の法的境界線を確立する国際条約も存在する、
・On the private sector side, the subsea cable ecosystem consists of undersea cable owners and operators, integrated suppliers, suppliers without a fleet, owners of installation and repair vessels, and undersea cable maintenance companies. ・民間企業側では、海底ケーブルのエコシステムは、海底ケーブルの所有者と運営者、総合サプライヤー、フリートを持たないサプライヤー、設置・修理船の所有者、海底ケーブル保守会社で構成されている。
Key takeaways 主な要点
Accidental, unintentional damage through fishing or anchoring has so far been the cause of most subsea cable incidents. これまでのところ、海底ケーブルのインシデントの原因のほとんどは、漁業や錨泊による不慮の事故である。
Natural phenomena such as undersea earthquakes or landslides can have a significant impact, especially in places where there is a high concentration of cables. 海底地震や地滑りなどの自然現象は、特にケーブルが集中している場所では大きな影響を与える。
Chokepoints, where many cables are installed close to each other, are single points of failure, where one physical attack could strain the cable repair capacity. 多くのケーブルが互いに接近して設置されているチョークポイントは単一障害点であり、1回の物理的攻撃でケーブルの修復能力に負担がかかる可能性がある。
Physical attacks and cyberattacks should be considered as threats for the subsea cables, the landing points, and the ICT at the landing points. 物理的攻撃とサイバー攻撃は、海底ケーブル、陸揚げ地点、陸揚げ地点のICTに対する脅威として考慮されるべきである。
・There is a lack of information about the resilience, redundancy and capacity of subsea cables and further analysis is needed. The European Commission recently launched a dedicated study for this. 海底ケーブルのレジリエンス、冗長性、容量に関する情報は不足しており、さらなる分析が必要である。欧州委員会は最近、このための専門調査を開始した。
・At a national level, the mandate and supervision over the subsea cables should be clarified, to ensure that the cables and landing points are protected, and that chokepoints are avoided. 国レベルでは、海底ケーブルに対する権限と監督を明確にし、ケーブルと陸揚げ地点が確実に保護され、チョークポイントが回避されるようにすべきである。
National authorities should exchange good practices about subsea cable protection, involving also authorities for the energy sector, who have experience with protection of subsea power cables, as well as authorities under the Critical Entities Resilience Directive, whose experience with physical protection of critical infrastructure could be insightful. 各国当局は、海底電力ケーブルの保護に関する経験を持つエネルギー部門の当局や、重要インフラの物理的保護に関する経験を持つ重要事業体レジリエンス指令に基づく当局も参加し、海底ケーブルの保護に関するグッドプラクティスを交換すべきである。
What are subsea cables? 海底ケーブルとは何か?
There are about 400 subsea cables across the world, connecting islands, countries, regions, and continents. Subsea cables use optical fibre technology, transmitting electronic communications data at the speed of light. Subsea cables are about as thick as a garden hose. Subsea cables come on land at landing stations, where they connect to the land-based internet backbone, the underground cables. Landing stations can be at beaches or in ports. 世界中に約400の海底ケーブルがあり、島、国、地域、大陸を結んでいる。海底ケーブルは光ファイバー技術を使用し、電子コミュニケーションデータを光速で伝送する。海底ケーブルの太さは庭のホースほどだ。海底ケーブルは陸上の陸揚げ局で陸上のインターネット・バックボーンである地下ケーブルに接続される。陸揚げ局は海岸や港に設置される。
Target audience 対象読者
ENISA publishes this report to support national authorities in the EU Member States supervising telecom networks and core internet infrastructure, under the European Electronic Communications Code (EECC) and the Directive on measures for a high common level of cybersecurity across the Union (the NIS1 and the NIS2). Undersea cables are specifically mentioned in the NIS2 directive, and have to be addressed in national cybersecurity strategies. ENISAは、欧州電子通信規約(EECC)および欧州連合全体におけるサイバーセキュリティの高度な共通レベルの対策に関する指令(NIS1およびNIS2)に基づき、通信ネットワークおよび中核的なインターネットインフラを監督するEU加盟国の国家当局を支援するために、本レポートを発行している。海底ケーブルはNIS2指令で特に言及されており、国家サイバーセキュリティ戦略で対処する必要がある。
Further Information         詳細情報        
Subsea cables: What is at stake? – ENISA report 2023 海底ケーブル 何が問題なのか?- ENISAレポート2023

 

 

・2023.08.31 Undersea cables

Undersea cables 海底ケーブル
This report aims to follow up with detailed technical guidelines for national authorities and to support them with the technical aspects of the supervision of undersea cables and their associated infrastructure, including landing stations and cable network management systems. 本レポートは、各国当局のための詳細な技術ガイドラインをフォローアップし、海底ケーブルおよびその関連インフラ(陸揚げ局やケーブルネットワーク管理システムなど)の監督を技術的側面から支援することを目的としている。

 

・[PDF]

20230904-31005

・[DOCX] 仮訳

 

 

目次...

1.   INTRODUCTION  1.   はじめに
1.1   TARGET AUDIENCE  1.1   対象読者
1.2   TARGET AUDIENCE  1.2   ターゲット 
1.3   EU POLICY CONTEXT  1.3   EUの政策的背景
1.4   METHODOLOGY  1.4   方法論
2.   REGULATORY REGIMES, TREATIES AND PERMITS  2.   規制体制、条約、許可
2.1   NATIONAL REGULATORY REGIMES  2.1   各国の規制制度
2.2   INTERNATIONAL TREATIES  2.2   国際条約
2.3   INSTALLATION AND REPAIR PERMITS  2.3   設置および修理許可証
3.   SUBSEA CABLE ECOSYSTEM  3.   海底ケーブル・エコシステム 
3.1   SUBSEA CABLE MAPS  3.1   海底ケーブル・マップ 
3.2   SUBSEA CABLE ECOSYSTEM  3.2   海底ケーブル・エコシステム
4.   CHALLENGES FOR SUBSEA CABLE RESILIENCE  4.   海底ケーブルの耐障害性に関する課題
4.1   ICPC STATISTICS FOR CABLE FAULTS  4.1   ケーブル故障のICPC統計
4.2   ROOT CAUSES FOR SUBSEA CABLE INCIDENTS  4.2   海底ケーブル事故の根本原因
4.2.1  System failures  4.2.1  システム障害
4.2.2  Human errors  4.2.2  ヒューマンエラー
4.2.3  Natural phenomena  4.2.3  自然現象 
4.2.4  Malicious actions  4.2.4  悪質な行為
4.3   TECHNICAL CAUSES OF SUBSEA CABLE INCIDENTS  4.3   海底ケーブル事故の技術的原因 
4.3.1  Power outages  4.3.1  停電 
4.3.2  Shunt faults  4.3.2  シャント故障
4.3.3  Cable breaks  4.3.3  ケーブル断線
4.3.4  Fibre failures  4.3.4  ファイバー障害
5.   GOOD PRACTICES  5.   グッド・プラクティス
6.   CONCLUSIONS  6.   結論

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  要旨 
Subsea cables, are some of the most critical components of the global internet infrastructure. Estimates say that more than 97% of the world’s internet traffic is transmitted via subsea cables. Subsea cables are therefore critical for the EU and protecting them from physical and cyber-attacks is strategically important.   海底ケーブルは、世界のインターネット・インフラにとって最も重要なコンポーネントのひとつである。推定によれば、世界のインターネット・トラフィックの97%以上が海底ケーブル経由で伝送されている。したがって、海底ケーブルはEUにとって極めて重要であり、物理的攻撃やサイバー攻撃から海底ケーブルを守ることは戦略的に重要である。  
Modern subsea cables use optical fibre technology to transmit communications data literally at the speed of light. Close to shore subsea cables are thicker and strengthened with armour, but for most of their length subsea cables have a diameter that is not much greater than that of a garden hose. While the number of subsea cables is growing constantly, in 2019 there were more than 378 subsea cables worldwide, spanning more than 1.2 million kilometres1.   現代の海底ケーブルは光ファイバー技術を使い、文字通り光速で通信データを伝送する。岸に近い海底ケーブルは太く、装甲で強化されているが、海底ケーブルの長さの大部分は、直径が庭のホースほどもない。海底ケーブルの数は絶えず増加しているが、2019年には世界中で378本以上の海底ケーブルがあり、その長さは120万キロメートルを超えている1 。  
Subsea cables are covered by national telecom laws, but also by international treaties. In practice, a wide range of different authorities may be involved in the protection of subsea cables, including currently national competent authorities for telecom security, cybersecurity agencies, civil protection, defence, and coast guard.   海底ケーブルは、各国の電気通信関連法だけでなく、国際条約でもカバーされている。実際のところ、海底ケーブルの保護には、現在のところ、電気通信セキュリティの国家管轄当局、サイバーセキュリティ機関、市民保護、防衛、沿岸警備など、さまざまな当局が関与している可能性がある。  
Although subsea cables can be targets of malicious actions, for instance sabotage attacks, currently, the most common incidents affecting subsea cables have been accidental, unintentional incidents. Most often the unintentional cable damage is caused by commercial fishing and shipping activities. Sometimes, also natural phenomena can cause cable breaks, for instance underwater earthquakes. There are about 150-200 accidental, unintentional subsea cable faults every year2.   海底ケーブルは、妨害攻撃など悪意のある行為の標的になることもあるが、現在、海底ケーブルに影響を及ぼす最も一般的な事故は、偶発的、非意図的な事故である。意図的でないケーブルの損傷は、商業漁業や海運活動によって引き起こされることがほとんどです。また、海底地震などの自然現象によってケーブルが破損することもある。毎年約150~200件の偶発的、非意図的な海底ケーブル障害が発生している2 。  
The subsea cable landing stations, where the cable surfaces and connects to land-based infrastructure, are located on beaches or in cities, and they can be a weak point. Cable landing stations can be targeted by attackers, for example, with espionage attacks, deliberate power cuts, sabotage attacks with explosives, or even missile attacks in the case of a military conflict.   海底ケーブルの陸揚げ局(ケーブルが浮上し、陸上のインフラに接続される場所)は、海岸や都市部にあり、弱点となりうる。ケーブル陸揚げ局は、例えばスパイ攻撃、意図的な停電、爆発物による破壊工作、軍事衝突の場合はミサイル攻撃など、攻撃者に狙われる可能性がある。  
Repairing the damage to a subsea cable or to a subsea cable landing station is a complex and difficult, lengthy operation. Repair is also highly dependent on the availability of specialized and dedicated repair ships, of which there is only a limited number worldwide. In some areas repair may require powerful icebreakers, for instance. Given the complexity of repair operations and the scarcity of repair capacity, a coordinated attack against multiple subsea cables could have a major impact on global internet connectivity.   海底ケーブルや海底ケーブル陸揚げ局の損傷を修理するのは、複雑で困難な長時間の作業である。修理はまた、専門的で専用の修理船が利用できるかどうかにも大きく左右されるが、その数は世界中でも限られている。地域によっては、修理に強力な砕氷船が必要な場合もある。修理作業の複雑さと修理能力の不足を考えると、複数の海底ケーブルに対する協調的な攻撃は、世界のインターネット接続に大きな影響を与える可能性がある。  
To mitigate the impact of potential incidents affecting the subsea cables and to ensure resilience of these interconnections, countries should take the following steps:   海底ケーブルに影響を及ぼす可能性のある事故の影響を緩和し、これらの相互接続のレジリエンスを確保するため、各国は以下の措置を講じるべきである:  
•        Clarify the responsibilities and mandate of national authorities for the protection and security of subsea cables and the landing stations.   •        海底ケーブルと陸揚げ局の保護とセキュリティに関する国家当局の責任と権限を明確にする。  
•        Improve monitoring of subsea cables, across their entire length;  •        海底ケーブルの全長にわたるモニタリングを改善する; 
•        Ensure that incidents affecting subsea cables and landing stations get detected and notified to all the relevant authorities;   •        海底ケーブルや陸揚げ局に影響を及ぼす事故が検知され、すべての関係当局に通知されるようにする;  
•        Ensure that subsea cable landing stations and the subsea cable network management systems are protected from physical and cybersecurity threats;   •        海底ケーブル陸揚げ局と海底ケーブル・ネットワーク管理システムが物理的およびサイバーセキュリティの脅威から確実に保護されるようにする;  
•        Promote diversification of subsea cable routes and diversification of cable types along the same route;  •        海底ケーブルルートの多様化と、同一ルート上のケーブルの種類の多様化を推進する; 
•        Ensure that subsea cables are protected when they pass through shallow waters, for instance by burying them in the sea bed.   •        海底ケーブルを海底に埋めるなどして、浅瀬を通る海底ケーブルを確実に保護する。  
ENISA aims to follow up on this report with more detailed technical guidelines for national authorities, to support them with the technical aspects of the supervision of subsea cables and their associated infrastructure, including landing stations and cable network management systems.   ENISAは、この報告書に続き、各国当局向けに、海底ケーブルと、陸揚げ局やケーブル・ネットワーク管理システムなどの関連インフラの監督を技術面から支援するため、より詳細な技術ガイドラインを作成することを目指している。  

 

(1) https://ccdcoe.org/uploads/2019/11/Subsea-cables-Final-NOV-2019.pdf 

(2) https://www.csis.org/analysis/invisible-and-vital-subsea-cables-and-transatlantic-security  

| | Comments (0)

英国ジェームズ・クレバリー外務・英連邦・開発相、レモンド米商務長官がそれぞれ訪中

こんにちは、丸山満彦です。

英国のジェームズ・クレバリー外務・英連邦・開発相が2023.08.30に5年ぶりに訪中し、韓正国家副主席、王毅外相と会談したようですね。。。

英国の中国戦略の柱である「守る(protect)」、「連携する(align)」、「関与する(engage)」を概説し、英国の中国に対するアプローチを説明したようですね。。。

一方、米国のライモンド商務省長官は中国に招待されて訪中し、李強首相、商務部長、文化観光部長等と会談していますね。。。「小さな庭、高いフェンス」という方針を強調していますね。。。

双方とも依存関係があり、デカップリングは難しいという感覚はあると思います。とはいえ、安全保障上の問題はお互いに無視できないので、そこは厳格にいくが、経済への影響を考慮して、必要最小限で...というのが、お互いの本音なのでしょうかね。。。

米国商工会議所は、今回の訪中について歓迎をしていますね。。。

 

1_20230904012701


GOV.UK

1_20230904013301

・2023.08.30 Foreign Secretary’s meetings with China’s Foreign Minister and Vice President, August 2023

Foreign Secretary’s meetings with China’s Foreign Minister and Vice President, August 2023 外務大臣と中国副主席との会談(2023年8月
Foreign Secretary James Cleverly has held bilateral meetings with senior Chinese government figures during his visit to Beijing. クレバリー外務大臣は北京訪問中、中国政府高官と二国間会談を行った。
He met Chinese Vice President Han Zheng for the second time, and Chinese Foreign Minister and Director of the Office of the Central Foreign Affairs Commission, Wang Yi, for the third time. クレバリー外相は、中国の韓正副主席と2回目、王毅外相兼中央対外連絡弁公室主任と3回目の会談を行った。
The Foreign Secretary set out the UK’s approach to China, in line with his Mansion House speech and the Integrated Review Refresh – outlining the protect, align and engage pillars of the UK’s China strategy. 外務大臣は、大邸宅での演説と「統合的見直し(Integrated Review Refresh)」に沿って、英国の中国戦略の柱である「守る(protect)」、「連携する(align)」、「関与する(engage)」について説明した。
The Foreign Secretary was clear about the UK’s position on China’s malign cyber activity. In detailed discussions on Hong Kong, he stressed the damage caused by the Beijing-imposed National Security Law to rights and freedoms and consequently to China’s international reputation and raised the case of Jimmy Lai. 外務大臣は、中国の悪質なサイバー活動に対する英国の立場を明確にした。香港に関する詳細な議論では、北京が強行した国家安全法によって権利と自由、ひいては中国の国際的な評判が損なわれたことを強調し、ジミー・ライのケースを取り上げた。
He also emphasised the importance to the international community of peace and stability in the Taiwan Strait. And he called for the immediate lifting of sanctions against Parliamentary colleagues. The Foreign Secretary made clear the UK’s strength of feeling about the mass incarceration of the Uyghur people in Xinjiang. また、台湾海峡の平和と安定が国際社会にとって重要であることも強調した。そして、国会議員に対する制裁を直ちに解除するよう求めた。外務大臣は、新疆ウイグル自治区におけるウイグル人の大量収容について、英国の強い感情を明らかにした。
The Foreign Secretary agreed with Vice President Han Zheng and Foreign Minister Wang Yi on the importance of direct cooperation between the UK and China on the biggest global challenges, such as climate change. 外務大臣は、気候変動など最大の地球規模の課題に対する英中間の直接協力の重要性について、韓正副主席および王毅外相と合意した。
He made clear the UK position on key geopolitical issues including the conflict in Ukraine, the situation in North Korea and nuclear non-proliferation. また、ウクライナ紛争、北朝鮮情勢、核不拡散など、地政学上の重要問題に対する英国の立場を明らかにした。
They agreed on the potential of AI to unlock huge opportunities but stressed the need for global coordination to mitigate risks and put protections in place. 両外相は、AIが巨大なチャンスを引き出す可能性について合意したが、リスクを軽減し防御を整備するための世界的な協調の必要性を強調した。
The Foreign Secretary stressed the need for open dialogue, as well as the need for constructive engagement, when this is consistent with UK interests. 外務大臣は、オープンな対話の必要性と、それが英国の利益に合致する場合には建設的な関与の必要性を強調した。

 


 

U.S. Department of Commerce

1_20230904013401

商務部長と...

・2023.08.28 Readout of Secretary Raimondo's Meeting with Minister of Commerce of the People's Republic of China Wang Wentao

Readout of Secretary Raimondo's Meeting with Minister of Commerce of the People's Republic of China Wang Wentao ライモンド長官と王文涛・中華人民共和国商務部長との会談抄録
U.S. Secretary of Commerce Gina Raimondo today met with Minister of Commerce of the People’s Republic of China Wang Wentao to advance U.S. commercial and strategic interests. The meeting was part of ongoing efforts to deliver on President Biden’s directive following his meeting with President Xi in November 2022 to deepen bilateral discussions.  ジーナ・ライモンド米商務長官は本日、王文滔・中華人民共和国商務部長と会談し、米国の商業的・戦略的利益を促進した。この会談は、2022年11月にバイデン大統領が習主席と会談した後、二国間協議を深めるよう指示したことを実現するための継続的な努力の一環である。
Secretary Raimondo emphasized the importance of ensuring open lines of communication between the United States and China and took concrete steps to deliver on that goal. Secretary Raimondo and Minister Wang agreed to:  ライモンド長官は、米国と中国の間に開かれたコミュニケーションラインを確保することの重要性を強調し、その目標を実現するための具体的な措置を講じた。ライモンド長官と王部長は以下の点で合意した: 
Establish a new commercial issues working group, a consultation mechanism involving U.S. and PRC government officials and private sector representatives to seek solutions on trade and investment issues and to advance U.S. commercial interests in China. They agreed that the working group will meet twice annually at the Vice Minister level, with the U.S. hosting the first meeting in early 2024. 貿易・投資問題の解決策を模索し、中国における米国の商業的利益を促進するため、米国と中国の政府高官および民間セクターの代表者が参加する協議メカニズムである、新たな商業問題ワーキンググループを設立する。両氏は、この作業部会が毎年2回、次官レベルで会合を開き、2024年初めに米国が最初の会合を主催することで合意した。
Launch the export control enforcement information exchange, which will serve as a platform to reduce misunderstanding of U.S. national security policies. The first in-person meeting will occur at the Assistant Secretary level at the Ministry of Commerce in Beijing on Tuesday, August 29. 米国の国家安全保障政策に対する誤解を減らすためのプラットフォームとなる輸出管理執行情報交換を開始する。最初の直接会談は、8月29日(火)に北京の商務部次官補レベルで行われる。
Convene subject matter experts from both sides to hold technical discussions regarding strengthening the protection of trade secrets and confidential business information during administrative licensing proceedings.  双方の専門家を招集し、行政許認可手続きにおける企業秘密および企業秘密情報の保護強化に関する技術的な協議を行う。
Communicate regularly at the Secretary and Minister level about commercial and economic issues and to meet in-person at least once annually.  商業・経済問題について長官・大臣レベルで定期的にコミュニケーションし、少なくとも年1回は直接会談する。
Secretary Raimondo discussed opportunities to promote economic exchange where it aligns with U.S. interests and values. She underscored the importance of leveling the playing field for U.S. workers and businesses and ensuring the fair and transparent treatment of U.S. companies in China. Finally, Secretary Raimondo reinforced the Administration’s commitment to taking actions necessary to protect U.S. national security and reiterated the Administration’s “small yard, high fence” approach, underscoring that export controls are narrowly targeted at technologies that have clear national security or human rights impacts and are not about containing China’s economic growth.  ライモンド長官は、米国の利益と価値観に合致する経済交流を促進する機会について議論した。ライモンド長官は、米国の労働者と企業にとっての競争条件を公平にし、中国における米国企業の公正で透明な待遇を確保することの重要性を強調した。最後にライモンド長官は、米国の国家安全保障を守るために必要な措置を取るという政権のコミットメントを強化し、政権の「小さな庭、高いフェンス」というアプローチを改めて強調し、輸出規制は国家安全保障や人権に明らかに影響を与える技術に的を絞ったものであり、中国の経済成長を抑えるためのものではないことを強調した。

 

文化観光部長...

・2023.08.29 Readout of Secretary Raimondo's Meeting with Minister of Culture and Tourism of the People’s Republic of China Hu Heping

Readout of Secretary Raimondo's Meeting with Minister of Culture and Tourism of the People’s Republic of China Hu Heping ライモンド米商務長官、胡和平中華人民共和国文化観光部部長と会談を行う
Today U.S. Secretary of Commerce Gina Raimondo met with Minister of Culture and Tourism of the People’s Republic of China Hu Heping. During the meeting, Secretary Raimondo underscored the importance of people-to-people exchange to the broader U.S.-China bilateral relationship. Secretary Raimondo also noted the positive efforts made by the Department of Commerce and Ministry of Culture and Tourism to restore the United States as an approved destination for Chinese group travel, which will create jobs and grow the economies of both countries, and foster better understanding between the people and cultures of the two nations.  本日、ジーナ・ライモンド米商務長官は胡和平中華人民共和国文化観光部長と会談した。会談でライモンド長官は、より広範な米中二国間関係における人的交流の重要性を強調した。ライモンド長官はまた、商務省と文化観光省が米国を中国人の団体旅行先として復活させるために積極的に取り組んでいることにも言及した。これは雇用を創出し、両国の経済を成長させ、両国の人々と文化のより良い理解を促進するものである。
In the meeting, Secretary Raimondo and Minister Hu agreed to hold the 14th China-U.S. Tourism Leadership Summit in China in the first half of 2024, aiming to further revive and develop tourism cooperation between the two countries.  ライモンド長官と胡相は会談で、2024年前半に第14回中米観光リーダーシップ・サミットを中国で開催し、両国間の観光協力のさらなる復活と発展を目指すことで合意した。

 

李強首相...

・2023.08.29 Readout of Secretary Raimondo’s Meeting with Premier of the People’s Republic of China Li Qiang

Readout of Secretary Raimondo’s Meeting with Premier of the People’s Republic of China Li Qiang ライモンド長官と李強・中華人民共和国首相との会談抄録
U.S. Secretary of Commerce Gina Raimondo and Premier of the People’s Republic of China Li Qiang discussed the importance of the bilateral economic relationship between the United States and China. ジーナ・ライモンド米商務長官と李強中華人民共和国首相は、米国と中国の二国間経済関係の重要性について話し合った。
Secretary Raimondo reaffirmed her commitment to open channels of communication to facilitate cooperation on shared global challenges and areas of mutual interest and responsibility, such as combating climate change and addressing the Fentanyl crisis. The Secretary underscored the U.S. commitment to taking actions necessary to U.S. national security, ensuring fair and transparent treatment of U.S. companies, and creating a level playing field for U.S. workers and businesses. ライモンド長官は、気候変動対策やフェンタニル危機への対応など、世界的な課題や相互の関心と責任を共有する分野での協力を促進するため、コミュニケーションのチャンネルを開いていくことを再確認した。同長官は、米国の国家安全保障に必要な行動をとり、米国企業の公正で透明な待遇を確保し、米国の労働者と企業のために公平な競争条件を設けるという米国のコミットメントを強調した。
The Secretary also emphasized her support for actions that invest in people-to-people ties including tourism and cultural and educational exchanges which are important for the broader U.S.-China bilateral relationship.  長官はまた、より広範な米中二国間関係にとって重要な観光や文化・教育交流を含む、人と人とのつながりに投資する行動への支持を強調した。

 

副首相...

・2023.08.29 Readout of Secretary Raimondo’s Meeting with Vice Premier of the People’s Republic of China He Lifeng

Readout of Secretary Raimondo’s Meeting with Vice Premier of the People’s Republic of China He Lifeng ライモンド長官と何立峰・中華人民共和国副首相との会談抄録
U.S. Secretary of Commerce Gina Raimondo met with Vice Premier of the People’s Republic of China He Lifeng to engage on commercial issues impacting the U.S.-China economic relationship. ジーナ・ライモンド米商務長官は中華人民共和国の何立峰副首相と会談し、米中経済関係に影響を与える商業問題について意見を交わした。
The Secretary underscored the U.S. commitment to taking actions necessary to U.S. national security. She raised key issues of concern for U.S. businesses and workers, including the level playing field for U.S. companies and workers, PRC subsidization of industry, and underdeveloped intellectual property protections. ライモンド副首相は、米国の国家安全保障に必要な行動をとるという米国のコミットメントを強調した。同副総理は、米国企業および労働者のための公平な競争条件、中国の産業に対する補助金、未発達の知的財産権保護など、米国企業および労働者が懸念する主要な問題を提起した。
The Secretary and Vice Premier also discussed the importance of strengthening the protection of trade secrets for U.S. businesses operating in China and agreed that subject matter experts from both the U.S. and China will hold technical discussions on the issue. They discussed topics including climate change, space commerce, AI, and healthcare.  長官と副首相はまた、中国で活動する米国企業のために企業秘密の保護を強化することの重要性についても話し合い、米中両国の専門家がこの問題について技術的な協議を行うことで合意した。両氏は、気候変動、宇宙貿易、AI、ヘルスケアなどのテーマについて話し合った。

 

上海市党書記...

・ 2023.08.30 Readout of Secretary Raimondo’s Meeting with Shanghai Party Secretary Chen Jining

Readout of Secretary Raimondo’s Meeting with Shanghai Party Secretary Chen Jining ライモンド米国務長官と陳済寧・上海市党書記との会談要旨
Today, U.S. Secretary of Commerce Gina Raimondo met with Shanghai Party Secretary Chen Jining to discuss commercial sectors where the U.S. and China can promote greater cooperation based on shared interests. The Secretary encouraged Party Secretary Chen to work closely with the U.S. business community to promote transparency and the fair application of laws and regulations to ensure stability and predictability in the business environment for the U.S. and other investors. They also affirmed the importance of people-to-people ties, including through tourism and education opportunities.  本日、ジーナ・ライモンド米商務長官は、陳済寧上海市党書記と会談し、米中が共通の利益に基づき、より大きな協力を推進できる商業分野について話し合った。長官は陳党書記に対し、米国やその他の投資家にとってビジネス環境の安定性と予測可能性を確保するため、透明性と法規制の公正な適用を促進するため、米国のビジネス界と緊密に協力するよう促した。両氏はまた、観光や教育の機会を通じてなど、人と人とのつながりの重要性も確認した。

 

 

米国商工会議所

・2023.08.25 U.S. Chamber CEO on Secretary Raimondo’s China Visit

U.S. Chamber CEO on Secretary Raimondo’s China Visit レモンド長官の中国訪問に関する米国商工会議所CEOの声明
WASHINGTON, D.C. — Statement by Suzanne P. Clark, President and Chief Executive Officer of the U.S. Chamber of Commerce, in support of Commerce Secretary Gina Raimondo’s visit to China to foster dialogue and address concerns: ワシントンD.C.-米国商工会議所のスザンヌ・P・クラーク会頭兼最高経営責任者(CEO)は、ジーナ・レモンド商務長官の中国訪問を支持する声明を発表した:
“The U.S. Chamber of Commerce welcomes Secretary Raimondo’s trip to China for dialogues with her Chinese counterparts and other senior Chinese officials. The Secretary’s visit is critically important given the complexity and challenges in current U.S.-China commercial relations and the rising concerns about the risks and uncertainties American businesses face in the market.  「米国商工会議所は、レモンド商務長官の訪中を歓迎し、中国側カウンターパートや他の中国高官との対話を行う。現在の米中商業関係の複雑さと課題、そしてアメリカ企業が市場で直面するリスクと不確実性に対する懸念の高まりを考えれば、長官の訪中は決定的に重要である。
The United States and China have many points of conflict, the successful resolution of which requires frank dialogue. The U.S. Chamber strongly supports efforts to safeguard our national security and values, while optimizing the areas of commercial opportunity where we can and should engage productively without posing any risks.” 米国と中国には多くの対立点があり、その解決には率直な対話が必要である。米国商工会議所は、我々の国家安全保障と価値観を守る努力を強く支持する一方、我々がリスクをもたらすことなく生産的に関与できる、また関与すべき商機分野を最適化する」。

 

 


 

JETRO

・2023.09.01 英外相、過去5年間で初の訪中、気候変動など国際課題には協力で一致

・2023.09.01 李強首相がレモンド米商務長官と会談、対話・協力の強化を希望

・2023.08.30 レモンド米商務長官が訪中、輸出管理の今後の情報交換などで中国と合意




| | Comments (0)

2023.09.03

BSI (連邦情報セキュリティ局):自動車業界状況報告2022/2023 自動車産業と道路輸送におけるサイバーセキュリティの状況

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局が自動車業界の情勢報告2022/2023を公表していますね。。。「サイバーセキュリティが鍵」というメッセージですね。これは、昨年に2022.09.19、一昨年に2021.09.07に発表された報告書に続く、第3版です。

サプライチェーンには当然触れられているのですが、自動車単体というよりも、自動車を取り巻く環境全体(充電ステーション、標識等も含めて)検討することが重要ですよね。。。

 

Bundesamt für Sicherheit in der Informationstechnik: BSI 

プレス...

・2023.09.01 BSI beleuchtet Cybersicherheit in der Automobilbranche

BSI beleuchtet Cybersicherheit in der Automobilbranche BSI、自動車産業におけるサイバーセキュリティを強調
Auf der IAA Mobility 2023 stellt das BSI das neue Branchenlagebild Automotive vor und zeigt aktuelle Angriffsszenarien auf eigenem Messestand zum Anfassen IAAモビリティ2023では、BSIが自動車業界の新しい状況報告書を発表し、自社の見本市ブースで現在の攻撃シナリオを紹介する。
Neben alternativen Antriebsenergien wie Strom und Wasserstoff gibt es längst weitere wichtige Treibstoffe moderner Fahrzeuge: Daten, Algorithmen und Vernetzung. Sie müssen aber vor Diebstahl, Missbrauch und Erpressungsversuchen sicher sein. Nur so entsteht das notwendige Vertrauen bei Anwenderinnen und Anwendern in die neuen Technologien – und nur so können Daten, Algorithmen und Vernetzung einen produktiven Beitrag zur sicher vernetzten Mobilität leisten. 電気や水素といった代替駆動エネルギーに加え、データ、アルゴリズム、ネットワーキングといった現代の自動車にとって重要な燃料が登場して久しい。しかし、それらは盗難や悪用、恐喝の企てから安全でなければならない。これこそが、新しいテクノロジーに対するユーザーの必要な信頼を生み出す唯一の方法であり、そうして初めて、データ、アルゴリズム、ネットワーキングは、安全にネットワーク化されたモビリティに生産的に貢献することができるのだ。
Zwar sieht das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei den aktuell zugelassenen Fahrzeugen ein ausreichendes Cybersicherheitsniveau. Gleichzeitig arbeitet es als Cybersicherheitsbehörde des Bundes mit seinen Partnern aus Behörden, Institutionen, Wissenschaft und Wirtschaft aktiv in nationalen und internationalen Regulierungs- und Standardisierungsvorhaben daran, Fahrzeuge auch im Hinblick auf zukünftige Technologien abzusichern. Dazu seien weitere Anstrengungen und ein abgestimmtes Handeln entlang der Lieferkette erforderlich. Das sind die Kernaussagen des „Branchenlagebild Automotive – Cyber-Sicherheit in der Automobilbranche 2022/2023“, das das BSI zur IAA Mobility 2023 in München vorstellt. ドイツ連邦情報セキュリティー局(BSI)は、現在登録されている車両のサイバーセキュリティーレベルは十分だと考えている。同時に、連邦サイバーセキュリティ当局として、当局、機関、科学、産業界のパートナーとともに、国内および国際的な規制・標準化プロジェクトに積極的に取り組み、将来の技術に関しても自動車の安全性を確保している。そのためには、サプライチェーンに沿ったさらなる努力と協調行動が必要である。これらは、BSIがミュンヘンで開催されるIAAモビリティ2023で発表する「自動車セクター状況報告書-自動車セクターにおけるサイバーセキュリティ2022/2023」の中核をなす記述である。
„Die Zukunft der gesamten Mobilität hängt maßgeblich von der Cybersicherheit ab“, sagt Arndt von Twickel, Leiter des Referats „Cybersicherheit für intelligente Transportsysteme und Industrie 4.0“ im BSI. „Die durchgehende Digitalisierung bei Elektromobilität, Vernetzung und Automatisierung eröffnet der Branche neue Chancen, stellt sie aber auch vor Herausforderungen. Wenn Fahrzeuge mit komplexer IT-Hard- und Software ausgestattet und durchgehend online sind, dann sind sie auch anfällig für Cyberangriffe. Cybersicherheit macht die Branche resilienter und sorgt für mehr Vertrauen bei den Verbraucherinnen und Verbrauchern.“ 「モビリティ全体の将来は、サイバーセキュリティに大きく依存している」と、BSIの「高度道路交通システムとインダストリー4.0のためのサイバーセキュリティ」部門の責任者であるアーント・フォン・トゥイッケルは言う。「エレクトロモビリティ、ネットワーキング、オートメーションにおけるエンド・ツー・エンドのデジタル化は、業界に新たな機会をもたらすが、同時に課題も突きつける。自動車が複雑なITハードウェアとソフトウェアを搭載し、継続的にオンライン化される場合、サイバー攻撃にも脆弱になる。サイバーセキュリティは業界をより強靭にし、消費者の信頼を高める。"
Zentrale Inhalte des Lagebildes 状況報告書の主な内容
Für den Berichtszeitraum Juli 2022 bis Juni 2023 enthält das Branchenlagebild Automotive: 2022年7月から2023年6月までの報告期間について、自動車業界の状況報告書には以下の内容が含まれている:
・Auswirkungen von Cyberkriminalität: Es beleuchtet IT-Vorfälle mit Bezug zu Produkten und Technologien; auch solche, die bereits im Straßenverkehr eingesetzt werden. Die höchste Schadenswirkung in der Automotive-Branche geht dem Lagebild zufolge von cyberkriminellen Angriffen mit Ransomware und Daten-Leaks aus („Double Extortion“). ・サイバー犯罪の影響:すでに道路交通で使用されているものも含め、製品や技術に関連するITインシデントを取り上げている。状況報告書によると、自動車産業への影響が最も大きいのは、ランサムウェアとデータ漏洩(「二重の恐喝」)によるサイバー犯罪者の攻撃である。
・Einschätzungen zur Cybersicherheit von Produktionsanlagen und -prozessen. ・生産施設とプロセスのサイバーセキュリティの評価。
・Hinweise zur Ausnutzung von Sicherheitslücken für Autodiebstähle und zum unbefugten Öffnen von Fahrzeugen. ・セキュリティの脆弱性を悪用した自動車の盗難や不正開錠に関する情報。
・Beschreibung von Angriffen auf Schwachstellen im Kommunikationsprotokoll oder anderen Sicherheitsmechanismen, die für die Steuerung der Ladevorgänge zwischen Fahrzeug und Ladestation eingesetzt werden. ・車両と充電ステーション間の充電プロセスを制御するために使用される通信プロトコルやその他のセキュリティ機構の脆弱性に対する攻撃の説明。
・Einschätzungen zu neuen gesetzlichen Regelungen und Standardisierungsaktivitäten. ・新たな法的規制や標準化活動の評価。
・Ausblicke auf technologische und regulative Entwicklungen, die in den kommenden Jahren von Bedeutung sein werden. ・今後数年間で重要になるであろう技術的・規制的発展についての見通し。
Das BSI auf der IAA Mobility 2023 IAAモビリティ2023におけるBSI
Auf seinem Stand F31 in Halle B1 zeigt das BSI mit insgesamt drei Exponaten, wie aktuelle Bedrohungsszenarien konkret aussehen. ホールB1のスタンドF31において、BSIは合計3つの展示を行い、現在の脅威シナリオが具体的にどのようなものかを示す。
KI-unterstützte Verkehrsschildklassifikation: Das Exponat ermöglicht es den Besucherinnen und Besuchern, in die Rolle des Angreifers zu schlüpfen und durch leichte, für Menschen unverdächtige Änderungen am Schild das KI-System zu einer Fehlfunktion zu verleiten. AIが支援する交通標識の分類:この展示では、来場者が攻撃者の役割になりきり、人間には不審に思われないわずかな変更を標識に加えることで、AIシステムを誤作動させることができる。
Fahrsimulator: Hier können Angriffe auf funkgesteuerte Schließ- und Infotainment-Systeme oder gar ein Eingriff in das Fahrverhalten simuliert werden. ドライビング・シミュレーター:ここでは、ラジコンやインフォテインメント・システムへの攻撃、あるいは運転行動への介入をシミュレートすることができる。
E-Ladesäulen: An einer nachgebauten Ladestation für E-Autos können Attacken auf den Ladevorgang durchgeführt werden. 電子充電ステーション: 充電プロセスへの攻撃は、電子自動車用の模擬充電ステーションで実行することができる。

 

・[PDF]

20230903-52520

・[DOCX] 仮訳

 

 

目次的な感じ...

1.はじめに

2 自動車産業におけるサイバーセキュリティ
2.1 サイバー犯罪による危険
 推奨措置
2.2 サプライ・チェーンにおける情報セキュリティの重要性
 兵器・テクノロジー企業へのサイバー攻撃
 国際的ITセキュリティ・サービス・プロバイダーへのサプライチェーン攻撃
 自動車サプライヤーへのランサムウェア攻撃

3 道路交通におけるサイバーセキュリティ
3.1 コネクテッド・ドライビング
 車両盗難
 ロールコード不足
 CANインジェクション
 自動車業界におけるウェブとAPIの脆弱性
 SQLインジェクション
3.2 充電におけるサイバー・セキュリティ
 充電中の攻撃面
 予防
3.3 交通インフラ

4 生産工場とプロセスにおけるサイバーセキュリティ
4.1 生産における課題としてのデジタル化
4.2 脆弱性管理
4.3 サービス・プロバイダーとリモート・サービス

5 対策と活動
5.1 輸送分野におけるサイバーセキュリティのための規制と標準化
5.2 NIS-2指令に基づく企業の新規制
5.3 BSIの協力と活動
 オートメーションと人工知能
 車載ソフトウェア

6 展望
 将来の規制

 

参考(過去の報告書)

・2022.09.19 [PDF] 自動車業界レポート2021/2022年 第2版

20220922-62925

・[DOCX] 仮訳

 

・2021.09.07 [PDF] 自動車業界レポート 第1版

20210908-61137

・[DOCX] 仮訳

 




まるちゃんの情報セキュリティ気まぐれ日記

・2022.09.22 ドイツ BSI (連邦情報セキュリティ局):自動車業界状況報告2021/2022

・2021.09.08 独国 BSI 自動車業界におけるサイバーセキュリティ

 

| | Comments (0)

2023.09.02

IPA ITパスポート試験 生成AIに関するサンプル問題を公開

こんにちは、丸山満彦です。

IT人材の裾野を広げるべく実施しているIPAのITパスポート試験ですが、生成的AIの普及等も踏まえて、シラバスの一部改訂が行われ、生成AIに関する項目・用語例の追加が行われました(2023.08.07)が、、、

生成AIに関するサンプル問題が公開されていますね。。。

 

IPA

・2023.08.31 ITパスポート試験において生成AIに関するサンプル問題を公開しました

でサンプル問題...

・[PDF]

20230902-75928

 

 

 

| | Comments (0)

NIST IR 8481(第一公開ドラフト) 研究のためのサイバーセキュリティ: 調査結果と前進の可能性

こんにちは、丸山満彦です。

NISTが、研究開発のセキュリティについてのIRのドラフトを公表していますね。。。CHIPS and Science Act [wikipedia] のSection 10229に基づくものですね。。。

 

NIST - ITL

・2023.08.31 Comments | NIST IR 8481, Cybersecurity for Research: Findings and Possible Paths Forward

・2023.08.31 NIST IR 8481 (Initial Public Draft) Cybersecurity for Research: Findings and Possible Paths Forward

 

NIST IR 8481 (Initial Public Draft) Cybersecurity for Research: Findings and Possible Paths Forward NIST IR 8481(第一公開ドラフト) 研究のためのサイバーセキュリティ: 調査結果と前進の可能性
Announcement 発表
To support implementation of the research cybersecurity effort detailed in Section 10229  of the CHIPS and Science Act, NIST is leading an initiative to disseminate and make publicly available resources to help qualifying institutions of higher education identify, assess, manage, and reduce cybersecurity risks related to conducting research. CHIPS and Science Act の Section 10229 に詳述されている研究サイバーセキュリティの取り組みの実施を支援するため、NIST は、認定を受けた高等教育機関が研究を実施する際に関連するサイバーセキュリティリスクを特定、アセスメント、マネジメント、削減するのに役立つリソースを普及し、一般に利用可能にするイニシアティブを主導している。
Informed by community dialogue and an April 2023 Request for Comment, today NIST is publishing this Initial Public Draft of NIST Interagency Report (IR) 8481, Research for Cybersecurity: Findings and Possible Paths Forward. コミュニティとの対話と2023年4月の意見要求を受けて、NISTは本日、NIST Interagency Report (IR) 8481「サイバーセキュリティのための研究」の初公開ドラフトを公表する: 所見と今後の道筋を示すものである。
Abstract 要旨
Unmanaged cybersecurity risks can wreak havoc on a community. This is no less true for the U.S. scientific research ecosystem, particularly members of the higher education research community, which can be characterized by its fundamentally open, collaborative culture and web of highly decentralized administrative and research environments. Securing the digital resources that contribute to a thriving higher education research enterprise requires consideration of the threats and vulnerabilities relevant to the community as well as unique mission contexts, cultures, and motivations. This resource is intended to enable institutions of higher education to identify, assess, manage, and reduce cybersecurity risks related to conducting research, as described in Section 10229 of the CHIPS and Science Act. 管理されていないサイバーセキュリティリスクは、地域社会に大混乱をもたらす可能性がある。このことは、米国の科学研究エコシステム、特に、基本的にオープンで協力的な文化や、高度に分散化された管理・研究環境の網の目によって特徴づけられる高等教育研究コミュニティのメンバーにとっても同様である。高等教育研究エンタープライズの繁栄に貢献するデジタルリソースを保護するためには、そのコミュニティに関連する脅威と脆弱性、また独自のミッションの背景、文化、動機について考慮する必要がある。本リソースは、高等教育機関が CHIPS および科学法第 10229 条に記載されているように、研究の実施に関連するサイバーセキュリティリスクを識別、アセスメント、マネジメント、削減できるようにすることを目的としている。

 

・[PDF] NIST.IR.8481.ipd

20230902-73812

 

レビューポイント...

Note to Reviewers  査読者への注意事項 
NIST is specifically interested in feedback on the following sections:   NIST は、特に以下のセクションに関するフィードバックを求めている:  
• Section 3.1: Cybersecurity Challenges and Risks  ・セクション 3.1:セクション3.1:サイバーセキュリティの課題とリスク 
Through the findings presented in Section 3.1, NIST hopes to document and drive awareness of the cybersecurity challenges and risks that institutions of higher education face when conducting research, as well as the parallel systemic problems and unique considerations associated with this community that increase the complexity of managing cybersecurity risks. Please provide feedback on the challenges, risks, and summary narrative offered in this document, NIST IR 8481, and alert us to any potential gaps or nuance that may have been missed.   セクション 3.1: サイバーセキュリティ上の課題とリスク NIST は、セクション 3.1 に示された知見を通じて、高等教育機関が研究を実施する際に直面するサイバーセキュリティ上の 課題とリスク、またサイバーセキュリティ上のリスクマネジメントの複雑性を増大させるような、このコミュニティ に関連する並行するシステム上の問題や独自の考慮事項について、文書化し、認識を促すことを期待している。本書(NIST IR 8481)に記載されている課題、リスク、および概要説明に対するフィードバックを提供し、見落とされた可能性のあるギャップやニュアンスについてご指摘いただきたい。 
• Section 4: Potential Next Steps for NIST  ・セクション 4:NISTの次のステップの可能性
A list of potential next steps for NIST was derived from feedback received through engagement with the research community and higher education cybersecurity community about their cybersecurity challenges, existing resources that they have found helpful, and desired new resources. Section 4 proposes three areas in which NIST could play a role:   研究コミュニティや高等教育サイバーセキュリティコミュニティとの関わりを通じて得られた、サイバーセキュリティに関す る課題、有用であると思われる既存のリソース、および希望する新たなリソースに関するフィードバックから、NIST の次 のステップとなり得るリストを作成した。セクション 4 では、NIST が役割を果たすことができる 3 つの分野を提案している:  
1. Community-specific cybersecurity resources  1. コミュニティ固有のサイバーセキュリティリソース 
2. Coordination  2. 調整 
3. Capacity building   3. 能力構築  
Please provide feedback on these areas, noting which would be most impactful.  これらの分野について、どれが最もインパクトがあるか、ご意見をお聞かせいただきたい。
• Appendix A: Existing Cybersecurity Resources  ・附属書 A:既存のサイバーセキュリティリソース
NIST IR 8481 is a publicly available document that includes a list of existing cybersecurity resources that can be disseminated and used to help institutions of higher education identify, assess, manage, and reduce cybersecurity risks related to conducting research. The list of resources includes items that are currently available for Research Security Officers, Chief Information Security Officers, cybersecurity teams, and others who are responsible for managing risks related to conducting research.   NIST IR 8481 は、高等教育機関が研究実施に関連するサイバーセキュリティリスクを特定、アセスメント、 マネジメント、低減するために普及・利用できる既存のサイバーセキュリティリソースのリストを含む公 開文書である。リソースのリストには、研究セキュリティ責任者、最高情報セキュリティ責任者、サイバーセキュリティチーム、その他研究実施に関連するリスクマネジメントを担当する者が現在利用可能な項目が含まれている。 
Beyond this list of existing cybersecurity resources, NIST is seeking input on:  この既存のサイバーセキュリティリソースのリスト以外にも、NIST は以下の点について意見を求めている: 
1. NIST resources on this list that could be tailored for an audience of researchers who do not have a background in cybersecurity  1. このリストにある NIST のリソースのうち、サイバーセキュリティの背景を持たない研究者向けに調整可能なもの。
2. NIST resources on this list that could be adapted to align with the research and education environment 2. 本リストに掲載されている NIST のリソースのうち、研究・教育環境に適合させることが可能なもの。

 

 

目次...

1. Introduction and Background 1. 序文と背景
1.1. Purpose 1.1. 目的
1.2. Scope and Audience 1.2. 範囲と読者
2. Approach 2. アプローチ
2.1. Initial Discovery 2.1. 初期検出
2.2. Community Engagement 2.2. コミュニティへの関与
2.3. Feedback Analysis 2.3. フィードバック分析
3. Summary of Feedback 3. フィードバックのまとめ
3.1. Cybersecurity Challenges and Risks 3.1. サイバーセキュリティの課題とリスク
3.2. Current Methods and Resources 3.2. 現在の方法とリソース
3.3. Recommendations for Future Work 3.3. 今後の作業に対する提言
4.Potential Next Steps for NIST 4.NISTの潜在的な次のステップ
Appendix A. Existing Cybersecurity Resources 附属書 A. 既存のサイバーセキュリティリソース
A.1. NIST Resources A.1. NIST のリソース
A.2. Internal Support Provided by Institutions of Higher Education A.2. 高等教育機関が提供する内部支援
A.3. Research and Education Community Resources A.3. 研究・教育コミュニティのリソース
Appendix B. Selected Bibliography 附属書 B. 参考文献

 

 

| | Comments (0)

総務省 2025年日本国際博覧会に向けたサイバー防御講習 「CIDLE(シードル)」の実施

こんにちは、丸山満彦です。

大阪・関西万博 2025の開催まで、後589日(2023.09.02現在)ということですが、いろいろとこれから作業が急ピッチで進んでいくんでしょうね。。。

いろいろと調整に時間がかかり、最後時間切れでいろいろと適当におわってしまわないかと少々心配ですが...

 

総務省が、国立研究開発法人情報通信研究機構(NICT)を通じて、2025年日本国際博覧会(大阪・関西万博)関連組織のサイバーセキュリティを強化し、大阪・関西万博の安全な開催に資するように、大阪・関西万博関連組織の情報システム担当者等を対象とした万博向けサイバー防御講習「CIDLE」を、令和5年9月から実施するようですね。。。

 

総務省 

・2023.08.30 2025年日本国際博覧会に向けたサイバー防御講習 「CIDLE(シードル)」の実施

 

大阪・関西万博 2025

1_20230902064901

 

 

 

| | Comments (0)

ニュージーランド NCSC-NZとCERT-NZを統合

こんにちは、丸山満彦です。

ニュージーランドが、CERT を Natinal Cyber Security Centre に統合しましたね。。。Five Eyesはすべて同じ形になったということのようです。。。

 

1_20230902054301

 

NCSCGovernment Communications Security Bureau; GCSB の一部ですね。。。

1_20230902054401

この構造は、名称も含めて英国の構造とよく似ていますね。。。

 

National Cybeer Security Centre - NZ

・2023.08.31 New Zealand takes the first step in creating a lead operational cyber security agency

New Zealand takes the first step in creating a lead operational cyber security agency ニュージーランドがサイバーセキュリティの主要な運用機関を設立する第一歩を踏み出す
CERT NZ today joined with the National Cyber Security Centre (NCSC), the first step in creating a lead operational cyber security agency.  CERT NZは本日、国家サイバーセキュリティセンター(NCSC)と統合し、サイバーセキュリティの主要な運用機関を設立する第一歩を踏み出した。
“The key thing for our customers to know is that our existing core services continue,” said Lisa Fong, head of the NCSC. NCSCの責任者であるリサ・フォング(Lisa Fong)氏は、次のように述べた。「私たちの顧客にとって重要なことは、既存の中核サービスが継続されるということです。」
“This initial shift has been designed to minimise disruption to customers, with the move simply transferring CERT NZ’s operations and staff from the Ministry of Business, Innovation and Employment to the NCSC.” 「今回の移行は、CERT NZの運営とスタッフをビジネス・イノベーション・雇用省からNCSCに移管するだけであり、顧客への混乱を最小限に抑えるように設計されています。」
Today’s change creates a similar cyber security agency structure to those operated by Australia, the UK and Canada – single agencies with a wide span of responsibilities and customers. 本日の変更により、オーストラリア、英国、カナダが運営するサイバーセキュリティ機関と同様の体制が構築された。
“We will shortly begin work to design a new integrated operating model that uses our enhanced scale and capability to provide a stronger cyber security system and improved customer service for New Zealanders,” said Ms Fong. フォング女史は、次のように述べた。「私たちは、強化された規模と能力を活かして、より強力なサイバーセキュリティシステムを提供し、ニュージーランド国民のための顧客サービスを改善する、新しい統合運営モデルを設計するための作業をまもなく開始します。」
In the meantime, CERT NZ and NCSC will continue to deliver existing functions. その間、CERT NZとNCSCは既存の機能を提供し続ける。
However, over time you can expect to see increased collaboration as we move towards a single integrated operational agency. しかし、時間の経過とともに、単一の統合された運用機関へと移行するため、協力体制が強化されることが予想される。
“While it will take significant time to complete the integration, we hope to find opportunities along the way to leverage the expertise of both CERT NZ and NCSC in the services we provide.” 「統合が完了するまでにはかなりの時間がかかるだろうが、その間にCERT NZとNCSC双方の専門知識をプロバイダに活用する機会を見つけたい。」
“Both CERT NZ and NCSC have ambitious programmes of delivery underway, and will continue that work,” CERT NZ Director Rob Pope said. CERT NZのロブ・ポープ所長は次のように述べた。「CERT NZとNCSCはともに、現在進行中の野心的なプログラムを実施しており、今後もその作業を継続する予定です。」
“We look forward to providing a more integrated range of products and services to New Zealanders.” 「私たちは、より統合された製品とサービスをニュージーランド国民に提供することを楽しみにしています。」
This is an exciting opportunity to set New Zealand up to tackle emerging cyber security challenges. We will endeavour to keep you updated on progress as we continue this work. これは、ニュージーランドが新たなサイバーセキュリティの課題に取り組むためのエキサイティングな機会である。我々は、この作業を継続しながら、進捗状況について皆様に最新情報を提供するよう努める。

 

ちなみに、CERT NZはこちら....

CERT NZ

1_20230902061701

 

Five EyesのNational Cyber Security Centre / National Cybersecurity Center

略称 名称 上部組織略称 上部組織名称
米国 CICA Cybersecurity & Infrastracture Security Agency DHS Department of Homeland Security
英国 NCSC National Cyber Security Centre GCHQ Government Communications Headquarters
カナダ CCCS Canadian Centre for Cyber Security CSE Communications Security Establishment
オーストラリア ACSC Australian Cyber Security Centre ASD Australian Signals Directorate
ニュージーランド NCSC NZ National Cyber Security Centre GCSB Government Communications Security Bureau

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.31 NATO CCDCoE 国家CERT/CSIRT - 権限と組織に関する文書

 

| | Comments (0)

2023.09.01

Five Eyes Android 端末を標的とするInfamous Chisel マルウェアを利用するロシアの脅威行為者に関する報告書

こんにちは、丸山満彦です。

Five EyesがAndroid 端末を標的とするInfamous Chisel マルウェアを利用するロシアの脅威行為者に関する報告書を公表していますね。。。

CISAのページ...

CISA

プレス...

・2023.08.31 U.S. and International Partners Release Report on Russian Cyber Actors Using “Infamous Chisel” Malware

U.S. and International Partners Release Report on Russian Cyber Actors Using “Infamous Chisel” Malware 米国と国際パートナー、「悪名高いChisel」マルウェアを使用するロシアのサイバー行為者に関する報告書を発表
Joint report provides technical analysis of malware targeting Android devices used by Ukrainian military 共同報告書は、ウクライナ軍が使用するAndroid端末を標的としたマルウェアの技術分析を提供する
WASHINGTON – The U.S. Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), National Security Agency (NSA), and agencies in AustraliaCanadaUnited Kingdom, and New Zealand today published a joint report on a malware campaign conducted by Russian cyber actors against the Ukrainian military. ワシントン - 米サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、国家安全保障局(NSA)、およびオーストラリア、カナダ、英国、ニュージーランドの各機関は本日、ロシアのサイバー行為者がウクライナ軍に対して行ったマルウェアキャンペーンに関する共同報告書を発表した。
The malware analysis report provides technical details of a new kind of malware used to target Android devices in use by Ukrainian military personnel. The malware, called Infamous Chisel, enables unauthorized access to compromised devices and is designed to scan files, monitor traffic, and periodically steal sensitive information. このマルウェア分析報告書には、ウクライナ軍関係者が使用しているアンドロイド端末を標的にした新種のマルウェアの技術的詳細が記載されている。Infamous Chiselと呼ばれるこのマルウェアは、侵害されたデバイスへの不正アクセスを可能にし、ファイルをスキャンし、トラフィックを監視し、定期的に機密情報を盗むように設計されている。
“For years, the U.S. Government has been calling out Russian actors who have engaged in a range of malicious cyber activity targeting U.S. and allied partners for cyber espionage and potential disruptive actions,” said CISA Executive Assistant Director for Cybersecurity, Eric Goldstein. “Today’s joint report reflects the value of deep collaboration across our international cyber defense partners, the need for all organizations to keep their Shields Up to detect and mitigate Russian cyber activity, and the importance of continued focus on maintaining operational resilience under all conditions.”   「CISAのサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターであるエリック・ゴールドスタインは、次のように述べている。「米国政府は長年にわたり、米国や同盟国のパートナーを標的としたさまざまな悪質なサイバー活動を行うロシアの行為者を、サイバー・スパイ活動や潜在的な破壊行動として呼びかけてきた。「本日の共同報告書は、国際的なサイバー防衛パートナー間の深い協力の価値、ロシアのサイバー活動を検知し緩和するためにすべての組織がシールドを維持する必要性、そしてあらゆる状況下で運用レジリエンスを維持することに引き続き注力することの重要性を反映している。 
The campaign was publicly uncovered by Ukraine’s security agency, the SBU, earlier this month and has been attributed to the threat actor known as Sandworm. The United Kingdom and the United States have previously attributed Sandworm to the Russian GRU’s Main Centre for Special Technologies (GTsST). このキャンペーンは、今月初めにウクライナの治安機関であるSBUによって公に摘発され、Sandwormとして知られる脅威行為者に起因するとされている。英国と米国は、サンドウォームをロシアGRUのメイン特殊技術センター(GTsST)の仕業としている。
For more information on Russian state-sponsored cyber activity, read Joint Cybersecurity Advisory on Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructure and CISA’s Russia Cyber Threat Overview and Advisories webpage. ロシアの国家支援によるサイバー活動の詳細については、「重要インフラに対するロシアの国家支援および犯罪的サイバー脅威に関する共同サイバーセキュリティ勧告」およびCISAの「ロシアのサイバー脅威の概要と勧告」のウェブページを参照のこと。

 

マルウェアについての技術報告書...

・2023.08.31 Infamous Chisel Malware Analysis Report

Alert Code: AR23-243A アラートコード:AR23-243A
Infamous Chisel Malware Analysis Report Infamous Chisel マルウェア分析レポート
Infamous Chisel–A collection of components associated with Sandworm designed to enable remote access and exfiltrate information from Android phones. Infamous Chisel-Android携帯電話からのリモートアクセスと情報流出を可能にするために設計されたSandwormに関連するコンポーネントの集合体。
Executive Summary エグゼクティブサマリー
Infamous Chisel is a collection of components targeting Android devices. Infamous Chisel は、Android 端末を標的とするコンポーネントの集合体である。
This malware is associated with Sandworm activity. このマルウェアはSandwormの活動に関連している。
It performs periodic scanning of files and network information for exfiltration. このマルウェアは、ファイルやネットワーク情報の定期的なスキャンを実行し、情報を流出させる。
System and application configuration files are exfiltrated from an infected device. 感染したデバイスからシステムおよびアプリケーションの設定ファイルが流出する。
Infamous Chisel provides network backdoor access via a Tor (The Onion Router) hidden service and Secure Shell (SSH). Infamous Chiselは、Tor (The Onion Router)隠れサービスやSecure Shell (SSH)を介してネットワークバックドアアクセスをプロバイダする。
Other capabilities include network monitoring, traffic collection, SSH access, network scanning, and SCP file transfer. その他の機能には、ネットワーク監視、トラフィック収集、SSHアクセス、ネットワークスキャン、SCPファイル転送などがある。
Overview 概要
The UK National Cyber Security Centre (NCSC), the U.S. National Security Agency (NSA), U.S. Cybersecurity and Infrastructure Security Agency (CISA), U.S. Federal Bureau of Investigation (FBI), New Zealand’s National Cyber Security Centre (NCSC-NZ), the Canadian Centre for Cyber Security – part of the Canada’s Communications Security Establishment (CSE), and Australian Signals Directorate (ASD) are aware that the actor known as Sandworm has used a new mobile malware in a campaign targeting Android devices used by the Ukrainian military. The malware is referred to here as Infamous Chisel. 英国国家サイバーセキュリティセンター(NCSC)、米国国家安全保障局(NSA)、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、米国 米国連邦捜査局(FBI)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)、カナダ・サイバーセキュリティセンター(カナダ・コミュニケーション・セキュリティ・エスタブリッシュメント(CSE)の一部)、オーストラリア信号局(ASD)は、Sandwormとして知られる行為者が、ウクライナ軍が使用するAndroid端末を標的としたキャンペーンで新しいモバイルマルウェアを使用したことを認識している。このマルウェアはInfamous Chiselと呼ばれている。
Organizations from the United Kingdom, United States, Australia, Canada, and New Zealand have previously linked the Sandworm actor to the Russian GRU's Main Centre for Special Technologies GTsST. 英国、米国、オーストラリア、カナダ、およびニュージーランドの組織は、SandwormとロシアGRUのメインセンターGTsSTを関連づけたことがある。

 

 

オーストラリア...

ACSC

・2023.08.31 Infamous Chisel

 

カナダ...

Canadian Centre for Cyber Security

・2023.08.31 Joint report on new Russian malware campaign targeting Ukrainian military

 

英国

NCSC

・2023.08.31 UK and allies support Ukraine calling out Russia's GRU for new malware campaign

UK and allies support Ukraine calling out Russia's GRU for new malware campaign 英国と同盟国はウクライナを支援し、ロシアのGRUを新たなマルウェアキャンペーンで呼び出す
Malware, dubbed Infamous Chisel, enables unauthorised access to compromised Android devices. マルウェアは「Infamous Chisel」と名付けられ、感染したアンドロイド端末への不正アクセスを可能にする。
・GCHQ’s National Cyber Security Centre and international partners share technical details about malware used to target Ukrainian military ・GCHQのナショナル・サイバー・セキュリティ・センターと国際パートナーは、ウクライナ軍を標的にしたマルウェアに関する技術的な詳細を共有する。
・New report supports attribution that the malicious campaign has been carried out by Russian military intelligence service the GRU ・新レポートは、この悪質なキャンペーンがロシアの軍事情報機関GRUによって実行されたことを裏付けるものである。
・United show of support follows the Security Service of Ukraine exposing the malware operations earlier this month ・ウクライナ安全保障局が今月初めにマルウェア作戦を暴露したことを受け、連合が支援を表明した。
The UK and international allies have published a new report today (Thursday) which supports Ukraine calling out Russian cyber actors responsible for conducting a malware campaign against the Ukrainian military. 英国および国際的な同盟国は、本日(木曜日)、ウクライナ軍に対するマルウェア・キャンペーンを行ったロシアのサイバー・アクターを非難するウクライナを支持する新たな報告書を発表した。
The National Cyber Security Centre (NCSC) – a part of GCHQ – and agencies in the United States, Australia, Canada and New Zealand have published analysis of a new kind of malware used to target Android devices in use by Ukrainian military personnel. GCHQの一部である国家サイバーセキュリティセンター(NCSC)と米国、オーストラリア、カナダ、ニュージーランドの国家安全保障局は、ウクライナ軍関係者が使用しているアンドロイド端末を標的にした新種のマルウェアの分析を発表した。
The report details how the malware, dubbed Infamous Chisel, enables unauthorised access to compromised devices and is designed to scan files, monitor traffic and periodically steal sensitive information. 報告書は、Infamous Chiselと名付けられたこのマルウェアが、侵害されたデバイスへの不正アクセスを可能にし、ファイルをスキャンし、トラフィックを監視し、定期的に機密情報を盗むように設計されていることを詳述している。
The campaign was publicly uncovered by Ukraine’s security agency the SBU earlier this month and has been attributed to the threat actor known as Sandworm. このキャンペーンは、今月初めにウクライナのセキュリティ機関SBUによって公に発見され、Sandwormとして知られる脅威行為者に起因するとされている。
The NCSC has previously attributed the Sandworm actor to the Russian GRU’s Main Centre for Special Technologies GTsST. NCSCは以前、この「サンドワーム」をロシアGRUの「メインセンター・フォー・スペシャル・テクノロジーズ(GTsST)」によるものだとしていた。
The report's publication today demonstrates the UK and allies' ongoing commitment to support Ukraine in the face of Russian attacks, including in the area of cyber defence. 本日発表された報告書は、サイバー防衛の分野も含め、ロシアの攻撃に直面するウクライナを支援するという英国と同盟国の継続的なコミットメントを示すものである。
Deputy Prime Minister, Oliver Dowden, said: オリバー・ダウデン副首相は次のように述べた:
"As Russia fails on the battlefield, it continues its malicious activity online, making Ukraine one of the most cyber-attacked nations in the world. 「ロシアは戦場で失敗する一方で、オンライン上では悪質な活動を続けており、ウクライナは世界で最もサイバー攻撃を受けている国のひとつとなっている。
"Working with our international allies, and through NCSC's world-leading expertise, I'm proud that the UK is challenging Russia's cowardly cyber actors and defending Ukraine." 「国際的な同盟国と協力し、NCSCの世界をリードする専門知識を通じて、英国がロシアの卑怯なサイバー行為者に挑み、ウクライナを守っていることを誇りに思う。
NCSC Director of Operations, Paul Chichester, said: NCSCのポール・チチェスター作戦部長は、次のように述べた:
"The exposure of this malicious campaign against Ukrainian military targets illustrates how Russia’s illegal war in Ukraine continues to play out in cyberspace. 「ウクライナの軍事標的に対するこの悪意あるキャンペーンのエクスポージャーは、ウクライナにおけるロシアの違法な戦争がいかにサイバー空間で展開され続けているかを示している。
"Our new report shares expert analysis of how this new malware operates and is the latest example of our work with allies in support of Ukraine’s staunch defence. 「我々の新しい報告書は、この新しいマルウェアがどのように動作するかについての専門家の分析を共有し、ウクライナの堅固な防衛を支援するための同盟国との協力の最新の例である。
"The UK is committed to calling out Russian cyber aggression and we will continue to do so." 「英国はロシアのサイバー侵略を非難することにコミットしており、今後もそうしていく」。
Since Russia's invasion, Ukraine has faced an unprecedented barrage of attacks and has successfully defended itself and bolstered its overall digital resilience with support from international partners in government and industry. ロシアの侵攻以来、ウクライナは前例のない攻撃の嵐に直面し、政府や産業界の国際的なパートナーからの支援を受けて、防衛に成功し、全体的なデジタル・レジリエンスを強化してきた。
In June, the Prime Minister announced that the UK-funded Ukraine Cyber Programme would be boosted by an additional injection of up to £25 million and a two-year expansion to help Ukraine protect its critical national infrastructure and vital public services online. 首相は6月、英国が資金援助しているウクライナ・サイバー・プログラムに最大2500万ポンドを追加投入し、ウクライナが重要な国家インフラと重要な公共サービスをオンラインで保護できるよう2年間拡大すると発表した。
The malware analysis report has been jointed issued by the NCSC, the US National Security Agency (NSA), the US Cybersecurity and Infrastructure Security Agency (CISA), the US Federal Bureau of Investigation (FBI), New Zealand’s National Cyber Security Centre (NCSC-NZ), the Canadian Centre for Cyber Security - part of the Communications Security Establishment (CSE) and the Australian Signals Directorate (ASD). このマルウェア分析報告書は、NCSC、米国国家安全保障局(NSA)、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、米国連邦捜査局(FBI)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)、カナダ・サイバーセキュリティセンター(コミュニケーション・セキュリティ・エスタブリッシュメント(CSE)の一部)、オーストラリア信号局(ASD)が共同で発表した。
The report can be read in full on the NCSC website. Associated files relating to this report can also be accessed via the NCSC's Malware Analysis Reports page. 報告書の全文はNCSCのウェブサイトで読むことができる。このレポートに関連するファイルは、NCSCのマルウェア分析レポートのページからもアクセスできる。

 

・[PDF] Infamous Chisel

20230901-63236

 

ニュージーランド...

National Cyber Security Centre - NZ

・2023.09.01 Joint advisory: Support for Ukraine calling out Russia’s GRU for new malware campaign

 

Joint advisory: Support for Ukraine calling out Russia’s GRU for new malware campaign 共同勧告:新たなマルウェアキャンペーンでロシアのGRUを呼び出すウクライナを支援する
The National Cyber Security Centre (NCSC) has today joined likeminded international partners to issue a Malware Analysis Report on the Infamous Chisel malware. This mobile malware, used by an actor known as Sandworm, was observed in a campaign targeting Android devices in use by the Ukrainian military. ナショナル・サイバー・セキュリティ・センター(NCSC)は本日、志を同じくする国際的パートナーとともに、悪名高いマルウェア「Chisel」に関するマルウェア分析レポートを発表した。このモバイルマルウェアは、Sandwormとして知られる行為者によって使用され、ウクライナ軍で使用されているAndroid端末を標的としたキャンペーンで観測された。
Organisations from Australia, the United Kingdom, the United States, New Zealand, and Canada have previously linked the Sandworm actor to the Russian GRU’s Main Centre for Special Technologies GTsST. オーストラリア、英国、米国、ニュージーランド、カナダの組織は、SandwormとロシアGRUの主要特殊技術センターGTsSTを関連付けたことがある。
This report has been published as part of a coordinated effort to raise awareness of this capability being used by the cyber-actor, Sandworm. The malware analysis report has been jointed issued by New Zealand’s National Cyber Security Centre (NCSC), the US National Security Agency(external link) (NSA), the US Cybersecurity and Infrastructure Security Agency(external link) (CISA), the US Federal Bureau of Investigation(external link) (FBI), theCanadian Centre for Cyber Security(external link) - part of the Communications Security Establishment (CSE) and the Australian Signals Directorate(external link) (ASD). 本レポートは、サイバー行為者「サンドワーム」によって使用されているこの能力に対する認識を高めるための協調的努力の一環として発表された。このマルウェア分析レポートは、ニュージーランド国家サイバーセキュリティセンター(NCSC)、米国国家安全保障局(外部リンク)(NSA)、米国サイバーセキュリティ・インフラセキュリティ庁(外部リンク)(CISA)、米国連邦捜査局(外部リンク)(FBI)、コミュニケーション・セキュリティ・エスタブリッシュメント(CSE)の一部であるカナダ・サイバーセキュリティセンター(外部リンク)、オーストラリア信号総局(外部リンク)(ASD)が共同で発表したものである。
While the NCSC is not aware of New Zealand organisations currently being impacted by the Infamous Chisel malware, we are conscious that malicious cyber activity in New Zealand reflects international trends, and alongside international tensions resulting from Russia’s invasion of Ukraine, there is increased potential for cyber-attacks. NCSCは、ニュージーランドの組織が現在Infamous Chiselマルウェアの影響を受けていることは認識していないが、ニュージーランドにおける悪質なサイバー活動は国際的な傾向を反映しており、ロシアのウクライナ侵攻による国際的な緊張とともに、サイバー攻撃の可能性が高まっていることを認識している。
We are making this advisory publically available to help inform organisations’ cyber defence efforts. この勧告は、組織のサイバー防衛努力の参考となるよう、一般に公開するものである。
We encourage organisations’ information security leaders, technical specialists, security researchers, and those in academia to review this advisory, consider the tactics, techniques and procedures (TTPs) described in it, and to make an assessment of how they can be used to support network defence and resilience building. 我々は、組織の情報セキュリティリーダー、技術専門家、セキュリティ研究者、および学術関係者がこの勧告を検討し、この勧告に記載されている戦術、技術、手順(TTPs)を検討し、ネットワーク防御とレジリエンス構築を支援するためにそれらをどのように利用できるかを評価することを推奨する。

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.11 米国 CISA ブログ レジリエンスの力 - ウクライナのパートナーからアメリカが学べること

 

 

| | Comments (0)

NIST SP 800-204D(初期公開ドラフト)DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略

こんにちは、丸山満彦です。

DevSecOpsとCI/CDの統合...

難しいお題ですね。。。これ、、、、

あとで、ちょっと読んどこ...

 

● NIST - ITL

プレス...

・2023.08.30 Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/CD Pipelines: NIST SP 800-204D ipd Available for Comment

 

発表...

・2023.08.30 NIST SP 800-204D (Initial Public Draft) Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/CD pipelines

NIST SP 800-204D (Initial Public Draft) Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/CD pipelines NIST SP 800-204D(初期公開ドラフト)DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略
Announcement 発表
Cloud-native applications are made up of multiple loosely coupled components called microservices. This class of applications is generally developed through an agile software development life cycle (SDLC) paradigm called DevSecOps, which uses flow processes called continuous integration/continuous delivery (CI/CD) pipelines. Analyses of recent software attacks and vulnerabilities have led both government and private-sector organizations to focus on the activities involved in the entire SDLC. The collection of these activities is called the software supply chain (SSC). The integrity of these individual operations contributes to the overall security of an SSC, and threats can arise from attack vectors unleashed by malicious actors as well as defects introduced when due diligence practices are not followed during the SDLC. クラウドネイティブアプリケーションは、マイクロサービスと呼ばれる複数の疎結合コンポーネントで構成されている。このクラスのアプリケーションは、一般的にDevSecOpsと呼ばれるアジャイルソフトウェア開発ライフサイクル(SDLC)パラダイムを通じて開発され、継続的インテグレーション/継続的デリバリー(CI/CD)パイプラインと呼ばれるフロープロセスを使用する。最近のソフトウェア攻撃と脆弱性の分析によって、政府と民間の両方の組織が SDLC 全体に関わる活動に注目するようになった。これらの活動の集合体は、ソフトウェアサプライチェーン(SSC)と呼ばれる。これらの個々の作業の完全性は、SSC の全体的なセキュリティに寄与し、脅威は、悪意のある行為者によって放たれた攻撃ベクトルや、SDLC の間にデューディリジェンスの実践が守られなかったときに導入された欠陥から生じる可能性があります。
Executive Order (EO) 14028, NIST’s Secure Software Development Framework (SSDF), other government initiatives, and industry forums have addressed security assurance measures for SSCs to enhance the security of all deployed software. This document focuses on actionable measures to integrate the various building blocks of SSC security assurance into CI/CD pipelines to prepare organizations to address SSC security in the development and deployment of their cloud-native applications. 大統領令(EO)14028、NIST のセキュアソフトウェア開発フレームワーク(SSDF)、他の政府のイニシアティブ、および、業界のフォーラムは、すべての配備されたソフトウェアのセキュリティを強化するために、SSC のセキュリティ保証対策に取り組んできました。この文書では、クラウドネイティブなアプリケーションの開発とデプロイメントにおいてSSCセキュリティに対応するための準備として、SSCセキュリティ保証のさまざまなビルディングブロックをCI/CDパイプラインに統合するための実行可能な対策に焦点を当てる。
Abstract 概要
The predominant application architecture for cloud-native applications consists of multiple microservices with a centralized application infrastructure, such as a service mesh, that provides all application services. This class of applications is generally developed using a flexible and agile software development paradigm called DevSecOps. A salient feature of this paradigm is the use of flow processes called CI/CD pipelines, which initially take the software through various stages (e.g., build, test, package, and deploy) in the form of source code through operations that constitute the software supply chain (SSC). This document outlines strategies for integrating SSC security measures into CI/CD pipelines. クラウドネイティブアプリケーションの主なアプリケーションアーキテクチャは、複数のマイクロサービスから構成され、すべてのアプリケーションサービスを提供するサービスメッシュのような集中型アプリケーションインフラストラクチャを備えている。このクラスのアプリケーションは一般的に、DevSecOpsと呼ばれる柔軟でアジャイルなソフトウェア開発パラダイムを使用して開発される。このパラダイムの顕著な特徴は、CI/CDパイプラインと呼ばれるフロープロセスを使用することである。このパイプラインは、まず、ソフトウェアサプライチェーン(SSC)を構成するオペレーションを通じて、ソースコードの形で、様々な段階(例えば、ビルド、テスト、パッケージ、デプロイ)を経てソフトウェアを完成させる。この文書では、SSC のセキュリティ対策を CI/CD パイプラインに組み込むための戦略を概説する。

 

・[PDF] NIST.SP.800-204D.ipd

20230831-183626

 

Executive Summary 要旨
1.  Introduction 1.  序文
1.1.  Purpose 1.1.  目的
1.2.  Scope 1.2.  適用範囲
1.3.  Target Audience 1.3.  対象読者
1.4.  Relationship to Other NIST Documents 1.4.  他のNIST文書との関係
1.5.  Document Structure 1.5.  文書の構造
2.  Software Supply Chain (SSC) — Definition and Model 2.  ソフトウェアサプライチェーン(SSC) - 定義とモデル
2.1.  Definition 2.1.  定義
2.2.  Economics of Security 2.2.  セキュリティの経済学
2.3.  Governance Model 2.3.  ガバナンス・モデル
2.4.  SSC Model 2.4.  SSCモデル
2.4.1. Software Supply Chain Defects 2.4.1. ソフトウェア・サプライチェーンの欠陥
2.4.2. Software Supply Chain Attacks 2.4.2. ソフトウェア・サプライチェーン攻撃
3  SSC Security — Risk Factors and Mitigation Measures 3 SSC セキュリティ - リスク要因と低減対策
3.1.  Risk Factors in an SSC 3.1.  SSC におけるリスク要因
3.1.1. Developer Environment 3.1.1. 開発者の環境
3.1.2. Threat Actors 3.1.2. 脅威行為者
3.1.3. Attack Vectors 3.1.3. 攻撃ベクトル
3.1.4. Attack Targets (Assets) 3.1.4. 攻撃ターゲット(資産)
3.1.5. Types of Exploits 3.1.5. エクスプロイトの種類
3.2.  Mitigation Measures 3.2.  低減対策
3.2.1. Baseline Security 3.2.1. ベースライン・セキュリティ
3.2.2. Controls for Interacting With SCMs 3.2.2. SCMと相互作用するためのコントロール
4.  CI/CD Pipelines — Background, Security Goals, and Entities to be Trusted 4.  CI/CDパイプライン - 背景、セキュリティ目標、信頼されるべき事業体
4.1.  Broad Security Goals for CI/CD Pipelines 4.1.  CI/CDパイプラインの広範なセキュリティ目標
4.2.  Entities That Need Trust in CI/CD Pipelines — Artifacts and Repositories 4.2.  CI/CDパイプラインで信頼が必要な事業体 - アーティファクトとリポジトリ
5.  Integrating SSC Security Into CI/CD Pipelines 5.  SSCのセキュリティをCI/CDパイプラインに組み込む
5.1.  Securing Workflows in CI Pipelines 5.1.  CIパイプラインにおけるワークフローのセキュリティ確保
5.1.1. Secure Build 5.1.1. セキュアビルド
5.1.2. Secure Pull-Push Operations on Repositories 5.1.2. リポジトリに対する安全なプル・プッシュ操作
5.1.3. Integrity of Evidence Generation During Software Updates 5.1.3. ソフトウェア更新時の証拠生成の完全性
5.1.4. Secure Code Commits 5.1.4. 安全なコード・コミット
5.2. Securing Workflows in CD Pipelines 5.2. CDパイプラインにおけるワークフローの保護
5.2.1. Secure CD Pipeline — Case Study (GitOps) 5.2.1. セキュアなCDパイプライン - ケーススタディ(GitOps)
5.3.  SSC Security for CI/CD Pipelines — Implementation Strategy 5.3.  CI/CDパイプラインのSSCセキュリティ - 実装戦略
6.  Summary and Conclusions 6.  まとめと結論
References 参考文献
Appendix A. Mapping of Recommended Security Tasks in CI/CD Pipelines to Recommended High-Level Practices in SSDF 附属書A. CI/CD パイプラインで推奨されるセキュリティタスクと SSDF で推奨される高レベルの実施方法のマッピング
Appendix B. Justification for the Omission of Certain Measures Related to SSDF Practices in This Document 附属書B. この文書では、SSDF の実施方法に関連する一部の対策を省略している。

 

エグゼクティブサマリー...

Executive Summary  要旨 
Cloud-native applications are made up of multiple loosely couple components called microservices. This class of applications is generally developed through an agile software development life cycle (SDLC) paradigm called DevSecOps, which uses flow processes called Continuous Integration/Continuous Delivery (CI/CD) pipelines.  クラウドネイティブアプリケーションは、マイクロサービスと呼ばれる複数の疎結合コンポーネントで構成されている。このクラスのアプリケーションは、一般に、継続的インテグレーション/継続的デリバリー(CI/CD)パイプラインと呼ばれるフロープロセスを使用する、DevSecOps と呼ばれるアジャイルソフトウェア開発ライフサイクル(SDLC)パラダイムを通じて開発される。
Analyses of recent software attacks and vulnerabilities have led both government and privatesector organizations involved in software development, deployment, and integration to focus on the activities involved in the entire SDLC. These collected activities are called the software supply chain (SSC).   最近のソフトウェア攻撃と脆弱性の分析により、ソフトウェア開発、デプロイメント、統合に関与する政府と民間の両方の組織が、SDLC 全体に関与する活動に注目するようになった。これらの収集された活動は、ソフトウェアサプライチェーン(SSC)と呼ばれる。 
The integrity of these individual operations contributes to the overall security of an SSC, and threats can arise from attack vectors unleashed by malicious actors as well as defects introduced when due diligence practices are not followed during SDLC.  これらの個々の作業の完全性は、SSC の全体的なセキュリティに寄与し、脅威は、悪意のある行為者が放つ攻撃ベクトルや、SDLC の間にデューディリジェンスの実践が守られていないときに導入される欠陥から生じる可能性がある。
Executive Order (EO) 14028, NIST’s Secure Software Development Framework (SSDF)[2], other government initiatives, and industry forums have discussed the security of SSC to enhance the security of all deployed software. This document focuses on actionable measures to integrate the various building blocks of SSC security assurance into CI/CD pipelines to prepare organizations to address SSC security in the development and deployment of their cloud-native applications.  大統領令(EO)14028、NIST のセキュアソフトウェア開発フレームワーク(SSDF)[2]、他の政府のイニシアティブ、および業界のフォーラムは、すべての配備されたソフトウェアのセキュリティを強化するために、SSC のセキュリティについて議論してきました。この文書では、クラウドネイティブなアプリケーションの開発とデプロイメントにおいて、組織がSSCセキュリティに対応できるように、SSCセキュリティ保証のさまざまなビルディングブロックをCI/CDパイプラインに統合するための実行可能な対策に焦点を当てる。
Building a robust SSC security edifice requires various artifacts, such as a software bill of materials (SBOM) and frameworks for the attestation of software components. Since the specification of these artifacts, their mandatory constituents, and the requirements that processes using them must satisfy are continually evolving through projects in government organizations and various industry forums, they are beyond the scope of this document.  堅牢な SSC セキュリティ基盤を構築するには、ソフトウェア部品表(SBOM)やソフトウ ェアコンポーネントの認証フレームワークなど、さまざまな成果物が必要である。これらの成果物の仕様、必須構成要素、及びそれらを使用するプロセスが満たすべき要件は、政府組織や様々な業界フォーラムにおけるプロジェクトを通じて継続的に進化しているため、本文書の範囲を超えている。

 

関連...

2019.08.07 SP800-204 Security Strategies for Microservices-based Application Systems マイクロサービスベースのアプリケーションシステムのセキュリティ戦略
2020.05.27 SP800-204A Building Secure Microservices-based Applications Using Service-Mesh Architecture サービス・メッシュ・アーキテクチャを用いたセキュアなマイクロサービス・ベースのアプリケーションの構築
2021.08.06 SP800-204B Attribute-based Access Control for Microservices-based Applications using a Service Mesh サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースのアクセス制御
2022.03.08 SP800-204C Implementation of DevSecOps for a Microservices-based Application with Service Mesh サービスメッシュを用いたマイクロサービスベースのアプリケーションに対するDevSecOpsの実装
2023.08.30 SP800-204D Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/CD pipelines DevSecOps CI/CDパイプラインにおけるソフトウェアサプライチェーンセキュリティの統合戦略

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.12 NIST SP 800-204C サービス・メッシュを用いたマイクロサービス・ベースのアプリケーションに対するDevSecOpsの実施

・2021.10.01 NIST SP 800-204C (ドラフト) サービス・メッシュを用いたマイクロサービス・ベースのアプリケーションに対するDevSecOpsの実施

・2021.08.07 NIST SP 800-204B サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御

・2021.01.29 NIST SP 800-204B (Draft) サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御

・2020.03.01 NISTに基づくSupply Chain Risk Managementについてのちょっとしたまとめ

 

 

| | Comments (0)

« August 2023 | Main | October 2023 »